Debian Dopra下的用户权限如何设置

Debian 用户权限设置实操指南

适用范围与说明

• 你提到的“Debian Dopra”应为Debian系发行版（如 Debian、Ubuntu 等）。以下做法在常见的 Debian 稳定版中通用。
• 权限体系由三部分构成：
  1. 用户与用户组；2) 文件/目录权限（rwx）；3) sudo 授权与细粒度限制。
• 建议始终使用最小权限原则与visudo编辑 sudoers，避免直接修改系统文件导致语法错误无法登录。

用户与用户组管理

• 创建与删除
  • 创建用户：sudo adduser username（交互式，自动创建家目录与同名组）
  • 删除用户：sudo deluser username；连同家目录删除：sudo deluser --remove-home username
• 修改与查询
  • 修改主目录并迁移：sudo usermod -d /new/home -m username
  • 修改用户名：sudo usermod -l newname oldname
  • 查看所属组：groups username
• 用户组
  • 新建组：sudo groupadd groupname
  • 删除组：sudo groupdel groupname
  • 将用户加入附加组：sudo usermod -aG groupname username（务必使用**-a**，避免覆盖原有附加组）
  • 从组移除：sudo gpasswd -d username groupname
• 典型场景
  • 为部署 Web 服务，将开发者加入 www-data：sudo usermod -aG www-data alice
    以上命令均为 Debian 常用做法，适用于日常用户与组管理。

文件与目录权限设置

• 基本权限与数字模式
  • 查看权限：ls -l
  • 数字模式：r=4，w=2，x=1；如 755=rwxr-xr-x，644=rw-r–r–
  • 常用示例：
    • 脚本可执行：chmod u+x script.sh
    • 目录常用：755（所有者 rwx，组/其他 rx）
    • 私有文件：600（仅所有者读写）
• 更改属主与属组
  • 更改所有者：sudo chown username file
  • 更改所属组：sudo chgrp groupname file
  • 递归更改目录：sudo chown -R www-data:www-data /var/www/html
• 共享目录的组协作
  • 将目录组设为共享组并赋权：sudo chgrp -R devs /data && sudo chmod -R 775 /data
  • 确保新建文件继承组：在目录上设置setgid：sudo chmod g+s /data
• 细粒度访问控制（ACL）
  • 安装：sudo apt-get install acl
  • 为用户授予目录权限：sudo setfacl -m u:bob:rwx /data
  • 查看 ACL：getfacl /data
• 权限速查表
  • 目录：755（drwxr-xr-x）适合大多数服务目录
  • 私有文件：600（-rw-------）适合密钥、配置
  • 共享编辑：775（drwxrwxr-x）配合组协作
    以上命令覆盖日常权限设置与 ACL 细粒度授权。

sudo 授权与细粒度限制

• 安全编辑 sudoers：sudo visudo
• 授予完整 sudo：
  • 给用户：username ALL=(ALL:ALL) ALL
  • 给组（Debian 常见管理员组为 sudo）：%sudo ALL=(ALL:ALL) ALL
• 免密 sudo（按需）：%sudo ALL=(ALL:ALL) NOPASSWD:ALL
• 限制到特定命令（命令别名与用户别名）
  • 示例：仅允许 zhangsan 执行分区工具

    Cmnd_Alias DISK=/sbin/fdisk
    zhangsan ALL=DISK
    

  • 示例：允许一组用户仅做用户管理

    User_Alias OPERATORS=zhangsan,lisi
    Cmnd_Alias UADM=/usr/sbin/useradd,/usr/sbin/userdel
    OPERATORS ALL=UADM
    

  • 示例：开放 /sbin 下多数命令但排除关机/重启

    teacherfu ALL=/sbin/*,!/sbin/poweroff,!/sbin/init
    

• 查看某用户可用 sudo 权限：sudo -l -U username
• 安全提示：永远使用visudo编辑，避免语法错误导致无法使用 sudo。

服务场景与加固建议

• LAMP/Web 目录
  • 目录属主/属组：sudo chown -R www-data:www-data /var/www/html
  • 权限：目录 755，文件 644；上传目录可 775 并设 setgid
  • 开发者协作：将开发者加入 www-data 组，使用 ACL 为特定目录授予额外权限
• ACL 与文件系统
  • 启用 ACL（若未启用）：sudo tune2fs -o acl /dev/sdXn && sudo mount -o remount /mount_point
• 安全模块
  • AppArmor：Debian 通常默认启用，可为服务加载/切换配置：sudo aa-enforce /etc/apparmor.d/usr.sbin.httpd
  • SELinux：Debian 默认不启用，如需：sudo apt-get install selinux-basics selinux-policy-default && sudo setenforce 1
• 远程运维
  • 建议禁用 root 直接登录，使用普通用户 + sudo；通过 ssh-copy-id 部署公钥实现免密登录（仍受 sudo 约束）
    以上做法覆盖 Web 服务常见权限模型、ACL 与 AppArmor/SELinux 的基本用法。