Debian环境下如何进行多用户管理

Debian环境下多用户管理的核心操作指南

一、用户账户管理

1. 创建用户

使用adduser命令（交互式，推荐）创建用户，系统会提示设置密码、全名等信息：
sudo adduser username
若需手动指定UID、GID等参数，可使用useradd命令（需手动创建家目录）：
sudo useradd -m -u 1010 -g users -s /bin/bash username（-m自动创建家目录，-u指定UID，-g指定主组，-s指定登录Shell）。

2. 删除用户

使用deluser命令删除用户：

• 仅删除用户：sudo deluser username
• 删除用户及家目录、邮件文件：sudo deluser --remove-home username。

3. 修改用户信息

• 更改用户名：sudo usermod -l new_username old_username
• 修改家目录（需保留原数据则加-m）：sudo usermod -d /new/home/directory -m username
• 更改登录Shell：sudo usermod -s /bin/zsh username
• 锁定/解锁账户：sudo passwd -l username（锁定）、sudo passwd -u username（解锁）。

二、用户组管理

1. 创建与删除组

• 创建组：sudo groupadd groupname（可指定GID：-g 1010）
• 删除组：sudo groupdel groupname（需确保组内无用户）。

2. 用户与组关联

• 将用户添加到组（保留原组需加-a）：sudo usermod -aG groupname username
• 从组中移除用户：sudo gpasswd -d username groupname
• 查看用户所属组：groups username 或 id username。

三、权限管理

1. 文件/目录基础权限

• 查看权限：ls -l /path/to/file（如-rw-r--r--表示所有者有读写权限，组和其他用户有读权限）
• 修改权限：chmod 755 filename（所有者rwx，组和其他用户r-x）；chmod 700 directory（目录仅所有者可访问）
• 修改所有者/组：sudo chown username:groupname filename；sudo chgrp groupname directory。

2. 特殊权限与ACL

• 特殊权限：
  • SUID（执行时临时拥有所有者权限）：sudo chmod u+s filename
  • SGID（目录下新建文件继承组权限）：sudo chmod g+s directory
  • Sticky Bit（目录下用户只能删除自己的文件）：sudo chmod +t directory
• ACL（细粒度权限）：
  • 安装ACL工具：sudo apt install acl
  • 给用户/组添加权限：sudo setfacl -m u:username:rwx filename、sudo setfacl -m g:groupname:r-x filename
  • 查看ACL：getfacl filename。

3. sudo权限配置

• 编辑sudoers文件（安全方式）：sudo visudo
• 添加用户或组权限（如允许username执行所有sudo命令）：username ALL=(ALL:ALL) ALL；允许admins组所有成员使用sudo：%admins ALL=(ALL:ALL) ALL。

四、SSH访问管理

• 编辑SSH配置文件：sudo nano /etc/ssh/sshd_config
• 限制特定用户登录（如仅允许user1、user2）：AllowUsers user1 user2
• 限制用户只能访问自己的家目录（Chroot）：

  Match User username
      ChrootDirectory /home/username
      ForceCommand internal-sftp
  

• 重启SSH服务使配置生效：sudo systemctl restart sshd。

五、附加安全与管理功能

1. 磁盘配额设置

• 安装quota工具：sudo apt install quota
• 修改/etc/fstab（在目标分区挂载选项添加usrquota,grpquota）：
  /dev/sda1 / ext4 defaults,usrquota,grpquota 0 1
• 启用配额：sudo mount -o remount /；sudo quotacheck -avug；sudo quotaon -av
• 设置用户配额：sudo edquota username（编辑硬限制/软限制，如blocks限制磁盘空间）。

2. 登录历史与密码策略

• 查看用户登录历史：last username（显示登录时间、IP等信息）
• 设置密码过期策略（如90天必须更改）：sudo chage -M 90 username
• 强制用户下次登录修改密码：sudo chage -d 0 username。