用户与权限控制：用户/组管理、sudo 权限、ACL 访问控制列表

用户与权限控制：用户/组管理、sudo 权限、ACL 访问控制列表

在日常的 Linux 运维与安全加固中，用户与权限控制是最基础、也是最容易被忽视的环节。很多安全事故并非源于高深的漏洞，而是因为权限配置不当，让攻击者有了可乘之机。本文将从用户/组管理、sudo 权限、ACL 访问控制列表三个方面，系统梳理实战要点与最佳实践。

一、用户与组管理

1. 用户与组的关系

• 用户（User）：系统中执行操作的主体，每个用户都有唯一的 UID（User ID）。
• 组（Group）：权限管理的集合单位，每个组有唯一的 GID（Group ID）。
• 一个用户可以属于多个组，方便批量授权。

2. 常用命令

# 添加用户
useradd -m -s /bin/bash devuser
​
# 修改用户密码
passwd devuser
​
# 添加组
groupadd devgroup
​
# 将用户加入组
usermod -aG devgroup devuser
​
# 查看用户信息
id devuser

实战建议

• 普通业务账号与运维账号分离，避免“全能账号”。
• 禁止直接使用 root 登录，改用普通用户 + sudo 提权。
• 定期审计 /etc/passwd 与 /etc/group，清理无用账号。

二、sudo 权限控制

sudo 是 Linux 中最常用的最小化授权工具，允许普通用户在授权范围内执行高权限命令。

1. 配置文件

• 主配置文件：/etc/sudoers
• 推荐使用 visudo 编辑，避免语法错误导致锁死权限。

2. 基本授权示例

# 允许 devuser 以 root 身份执行 systemctl
devuser ALL=(ALL) /bin/systemctl
​
# 允许 devgroup 免密码执行重启服务
%devgroup ALL=(ALL) NOPASSWD: /bin/systemctl restart nginx

3. 安全建议

• 精确到命令路径，不要使用通配符 * 乱授权。
• 对高危命令（如 rm -rf /、dd）禁止授权。
• 配合 sudo -l 定期检查用户可执行的命令。

三、ACL 访问控制列表

传统的 Linux 权限模型（rwx）只能精确到所有者 / 所属组 / 其他人三类用户，ACL（Access Control List）则提供了更细粒度的权限控制。

1. 启用与查看 ACL

• 大多数现代 Linux 发行版默认支持 ACL。
• 查看挂载参数：

mount | grep acl

2. 设置与查看 ACL

# 给 devuser 赋予对 test.log 的读写权限
setfacl -m u:devuser:rw test.log
​
# 给 devgroup 赋予执行权限
setfacl -m g:devgroup:x test.sh
​
# 查看 ACL
getfacl test.log

3. 实战场景

• 多个项目组共享同一目录，但权限要求不同。
• 临时授权外部人员访问特定文件，而不影响原有权限结构。

四、综合安全策略

1. 最小权限原则：只授予完成任务所需的最低权限。
2. 分组管理：按角色或项目分组，批量授权，减少重复配置。
3. 日志审计：开启 sudo 日志与 ACL 变更记录，便于追溯。
4. 定期清理：移除不再使用的账号、组和 ACL 规则。

用户与权限控制常用命令速查表

💡 使用建议

• 在生产环境中，先查权限再改权限，避免误操作。
• 对高危命令（如 chmod -R 777 /）保持高度警惕。
• 配合日志审计（/var/log/secure、/var/log/auth.log）追踪权限变更。

结语

权限控制不是一次性工作，而是一个持续优化的过程。作为一名智维攻城狮，我们不仅要会“开门”，更要懂得谁能进、能干什么、什么时候该收回钥匙。 在生产环境中，合理的用户/组管理、精确的 sudo 授权、灵活的 ACL 配置，能让系统既高效又安全。