Debian Minimal如何设置用户权限

Debian Minimal用户权限设置指南
Debian Minimal系统权限管理基于Linux标准模型，核心围绕用户账户、组管理、文件权限、sudo权限及**高级控制（ACL、SELinux/AppArmor）**展开。以下是具体操作步骤：

一、用户账户管理

1. 添加用户

使用adduser命令（交互式，推荐新手）或useradd命令（命令行，灵活）创建用户：

• 交互式添加：sudo adduser username，系统会提示设置密码、全名等信息，按需填写或直接回车跳过。
• 命令行添加：sudo useradd -m -s /bin/bash username（-m创建家目录，-s指定默认shell）。

  注：adduser会自动创建家目录并设置默认权限，更适合日常使用。

2. 删除用户

使用deluser命令，可选择是否保留家目录：

• 删除用户及家目录：sudo deluser --remove-home username
• 仅删除用户：sudo deluser username

  注：删除用户前需确认其无正在运行的进程，避免数据丢失。

3. 修改用户信息

• 修改用户名：sudo usermod -l new_username old_username
• 修改家目录：sudo usermod -d /new/home/path -m username（-m将旧家目录内容迁移至新路径）
• 锁定/解锁用户：sudo usermod -L username（锁定）、sudo usermod -U username（解锁）

二、组管理

1. 创建组

使用groupadd命令：sudo groupadd groupname（默认GID由系统自动分配，可通过-g指定，如sudo groupadd -g 1010 customgroup）。

2. 删除组

使用groupdel命令：sudo groupdel groupname（需确保组内无用户，否则需先移除用户）。

3. 管理用户与组的关系

• 将用户添加到组：sudo usermod -aG groupname username（-aG表示追加到附加组，避免覆盖原有组）。
• 从组中移除用户：sudo gpasswd -d username groupname
• 查看用户所属组：groups username或id username

三、文件与目录权限管理

1. 查看权限

使用ls -l命令查看文件/目录的权限、所有者和组：
ls -l /path/to/file
输出示例：-rw-r--r-- 1 owner group 1024 Jan 1 10:00 file.txt（-rw-r--r--表示所有者有读写权限，组和其他用户有读权限）。

2. 修改权限

• 数字模式（常用）：chmod 755 filename（所有者：rwx（7），组和其他用户：r-x（5））。

  权限对应：r=4、w=2、x=1，相加得对应数值。

• 符号模式（灵活）：chmod u+x file.txt（给所有者添加执行权限）、chmod g-w file.txt（移除组的写权限）、chmod o=r file.txt（设置其他用户为只读）。
• 递归修改目录权限：chmod -R 755 directory（慎用，避免修改系统目录权限）。

3. 修改所有者和组

• 修改所有者：sudo chown username filename
• 修改所有者和组：sudo chown username:groupname filename
• 递归修改目录所有者：sudo chown -R username:groupname directory

四、sudo权限管理

1. 将用户添加到sudo组

Debian Minimal默认有sudo组，将用户添加至该组即可获得sudo权限：
sudo usermod -aG sudo username
添加后，用户需重新登录生效。

2. 安全编辑sudoers文件

使用visudo命令（避免语法错误导致系统无法使用）编辑/etc/sudoers文件：
sudo visudo

• 授权用户：添加username ALL=(ALL:ALL) ALL（允许用户在任何主机上以任何用户身份执行任何命令）。
• 授权组：添加%sudo ALL=(ALL:ALL) ALL（允许sudo组用户执行所有命令）。

  注：避免直接编辑/etc/sudoers文件，visudo会自动检查语法。

五、高级权限控制

1. ACL（访问控制列表）

ACL允许更细粒度的权限控制（如给特定用户设置权限），需先安装acl工具：
sudo apt install acl

• 设置ACL权限：sudo setfacl -m u:username:rwx filename（给用户添加读写执行权限）、sudo setfacl -m g:groupname:r-x directory（给组添加读执行权限）。
• 查看ACL权限：getfacl filename
• 删除ACL权限：sudo setfacl -x u:username filename

2. 特殊权限

• SUID：允许用户以文件所有者身份运行程序（如passwd命令），设置命令：sudo chmod u+s /path/to/file（仅适用于可执行文件）。
• SGID：允许用户以文件所属组身份运行程序，或设置目录中新文件的默认组，设置命令：sudo chmod g+s /path/to/directory。
• Sticky Bit：防止用户删除其他用户的文件（如/tmp目录），设置命令：sudo chmod +t /path/to/directory。

六、SELinux与AppArmor（可选）

1. SELinux

Debian Minimal默认未启用SELinux，如需使用：

• 安装工具：sudo apt install selinux-basics selinux-policy-default
• 启用SELinux：sudo setenforce 1（1为强制模式，0为宽松模式）。

  注：启用前需备份重要数据，避免配置错误导致系统无法启动。

2. AppArmor

Debian Minimal默认启用AppArmor，用于限制程序权限：

• 查看状态：sudo aa-status
• 强制启用配置文件：sudo aa-enforce /etc/apparmor.d/usr.sbin.apache2（以Apache为例）。

  注：修改配置文件后需重启服务生效。

以上步骤覆盖了Debian Minimal系统用户权限管理的核心场景，操作前需确认管理员权限（使用sudo），避免误操作影响系统稳定性。