CentOS fetchLinux的权限管理方法

CentOS 下的 FetchLinux 权限管理

一 前置说明与总体思路

• 若你指的是在 CentOS 上部署或运行 FetchLinux（从其发布仓库拉取与同步镜像的工具/服务），权限管理的目标是：以最小权限原则运行服务，隔离数据与配置，仅授予必要的系统能力（读/写仓库、执行更新、必要的系统管理）。常见做法是：创建专用系统用户与组、将仓库目录的所有权赋予该用户、通过 ACL 为协作成员授予细粒度权限、用 sudo 精确授权管理操作、按需配置 SELinux 与 umask。

二 用户与组规划

• 创建专用用户与组（系统账号、不可登录、家目录按需）：
  • 创建组：sudo groupadd fetchlinux
  • 创建系统用户：sudo useradd -r -g fetchlinux -s /sbin/nologin -d /opt/fetchlinux fetchlinux
  • 说明：上述做法与常见部署脚本一致，便于将服务与系统其他主体隔离。

三 目录与文件权限配置

• 基本所有权与权限（示例目录：/opt/fetchlinux）：
  • 设置所有者：sudo chown -R fetchlinux:fetchlinux /opt/fetchlinux
  • 设置目录权限：sudo chmod 750 /opt/fetchlinux（所有者 rwx，组 rx，其他无权限）
  • 设置数据目录（如 /opt/fetchlinux/data）可写：sudo chmod 770 /opt/fetchlinux/data
• 默认权限与掩码（影响新创建文件/目录）：
  • 建议为服务会话设置 umask 027：文件默认 640（rw-r-----），目录默认 750（rwxr-x—），更利于协作且不过度开放。
• 细粒度协作（ACL）：
  • 为开发者用户授予项目目录读写：sudo setfacl -m u:devuser1:rwx /opt/fetchlinux
  • 为特定组授予只读：sudo setfacl -m g:devgroup2:r-x /opt/fetchlinux
  • 查看 ACL：getfacl /opt/fetchlinux
  • 提示：设置 ACL 后，ls -l 权限末尾会出现 + 号，表示存在扩展权限条目。

四 服务运行与 sudo 授权

• 以专用用户运行服务（示例思路）：
  • 若项目提供 systemd 单元，建议将单元中的 User=fetchlinux、Group=fetchlinux，并确保数据目录可被该用户访问。
  • 若通过脚本运行，使用：sudo -u fetchlinux /usr/local/bin/fetchlinux --update
• 精细化的 sudo 授权（避免直接给 root 密码）：
  • 仅允许重启服务：devops ALL=(root) NOPASSWD: /usr/bin/systemctl restart fetchlinux.service
  • 仅允许更新操作：devops ALL=(fetchlinux) NOPASSWD: /usr/local/bin/fetchlinux --update
  • 编辑 sudoers 请使用 sudo visudo，确保语法安全。

五 安全加固与审计要点

• SELinux：
  • 查看状态：sestatus
  • 如部署出现异常，可先临时切换为 Permissive 进行问题定位：sudo setenforce 0；定位完成后恢复 Enforcing 并针对服务做正确的 SELinux 策略配置，不建议长期关闭。
• 登录与远程安全（可选）：
  • 禁止 root 远程登录：sudo sed -i 's/^#*PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
  • 仅允许特定用户登录：echo "AllowUsers fetchlinux devuser1" | sudo tee -a /etc/ssh/sshd_config
  • 修改后重启 SSH：sudo systemctl restart sshd
• 定期审计与巡检：
  • 周期性核查关键目录的权限与 ACL、sudoers 规则、服务运行账户与组成员关系，确保仍符合最小权限原则。