支持情况与总体说明
支持,Debian 属于多用户操作系统,提供完整的用户与权限模型(账户、组、权限、sudo 等)。你提到的“Debian Stream8”并非官方术语,通常可能指 Debian 12(Bookworm) 的稳定分支,或 Debian Testing/Sid 的持续交付形态;无论哪种形态,默认都具备多用户能力。Debian 家族也常被用于多用户服务器与桌面环境场景。
快速开启多用户的常用操作
- 创建用户与组
- 交互式创建用户:sudo adduser username
- 指定 UID/GID/Shell:sudo useradd -m -u 1010 -g users -s /bin/bash username
- 创建组:sudo groupadd groupname
- 将用户加入附加组:sudo usermod -aG groupname username
- 授予管理员权限
- 将用户加入 sudo 组:sudo usermod -aG sudo username
- 或编辑 sudoers:sudo visudo,添加行:username ALL=(ALL:ALL) ALL
- 远程访问与管控
- 仅允许指定用户 SSH 登录:在 /etc/ssh/sshd_config 设置 AllowUsers user1 user2,然后 sudo systemctl restart sshd
- 限制用户 SFTP 根目录(Chroot):Match User username … ForceCommand internal-sftp
- 文件系统权限
- 基本权限:chmod 755 file;chmod 700 dir
- 更改属主/属组:sudo chown username:groupname file
- 细粒度 ACL:sudo setfacl -m u:username:rwx file;getfacl file
- 资源与合规
- 磁盘配额:在 /etc/fstab 对应分区添加 usrquota,grpquota,执行 quotacheck/quotaon,再用 edquota username 设置限额
- 登录审计与口令策略:last、who、w;chage -M 90 username(90 天有效期)
桌面环境多用户会话
在 Debian 的 GNOME(GDM3) 等桌面环境中,系统支持多个本地登录会话;若需要允许 root 图形登录,可在 /etc/gdm3/daemon.conf 的 [security] 段添加 AllowRoot=true,并相应调整 PAM 配置。出于安全考虑,生产环境通常不建议启用 root 图形登录。
安全与最佳实践
- 最小权限原则:仅为需要管理权限的用户配置 sudo,避免共享 root 密码
- 强化 SSH:禁用 root 远程登录(PermitRootLogin no)、使用密钥登录、限制可登录用户列表
- 隔离与审计:按用户/项目划分目录与权限,启用登录审计(last/w/who),定期核查 sudo 使用
- 口令与生命周期:设置合理复杂度与有效期(chage),必要时强制下次登录修改密码(chage -d 0)
