权限管理是保障FetchLinux系统安全的核心环节,需围绕用户账户、文件系统、服务配置、网络访问等维度展开,以下是具体操作步骤:
用户账户是权限的载体,需规范创建、修改与删除流程:
useradd命令添加用户(如newuser),并通过passwd设置密码:sudo useradd newuser # 创建用户
sudo passwd newuser # 设置密码(交互式输入)
oldname→newname):sudo usermod -l newname oldname;developers组):sudo usermod -aG developers newuser(-aG表示追加组,避免移除原有组);/new/home/newuser):sudo usermod -d /new/home/newuser newuser。sudo userdel -r newuser。sudo groupadd newgroup;sudo groupdel newgroup(需确保组内无用户)。id username;getent passwd username。文件/目录权限需遵循“最小权限原则”,避免过度开放:
ls -l查看文件/目录权限(如-rw-r--r--表示属主可读写,其他用户仅可读):ls -l /path/to/file_or_directory
chmod调整权限(数字格式或符号格式):
sudo chmod 754 filename;sudo chmod u+x filename(u表示属主,+x表示添加执行)。chown修改所有者/组:
fetchlinux用户、fetchlinux组:sudo chown fetchlinux:fetchlinux /path/to/file;sudo chgrp fetchlinux /path/to/file。/opt/fetchlinux/bin):755(属主可完全控制,其他用户可读执行);/etc/fetchlinux):750(限制其他用户访问);/var/lib/fetchlinux):750(避免未授权修改)。若FetchLinux以服务形式运行,需调整服务配置的用户权限:
/etc/sysconfig/fetchlinux或/usr/lib/systemd/system/fetchlinux.service),设置USER和GROUP参数:sudo vi /etc/sysconfig/fetchlinux # 或直接编辑服务单元文件
# 修改以下内容(根据实际用户/组调整)
USER fetchlinux
GROUP fetchlinux
sudo systemctl restart fetchlinux。ps aux | grep fetchlinux,确认进程以fetchlinux用户运行。firewalld(CentOS默认)开放FetchLinux所需端口(如8080):sudo firewall-cmd --permanent --add-port=8080/tcp # 永久开放端口
sudo firewall-cmd --reload # 重新加载规则
sestatus查看状态),需为FetchLinux配置策略:
/var/lib/fetchlinux):sudo chcon -R -t httpd_sys_rw_content_t /var/lib/fetchlinux # 修改安全上下文
通过日志监控用户操作,及时发现异常:
journalctl查看FetchLinux服务日志:sudo journalctl -u fetchlinux -f # 实时跟踪日志
lastlog(查看所有用户最后登录时间)、last(查看指定用户登录历史):lastlog # 所有用户最后登录
last fetchlinux # fetchlinux用户的登录历史
/var/log/secure(认证日志)中的异常登录记录,清理未授权账户。以上操作覆盖了FetchLinux权限管理的核心场景,需根据实际环境调整参数(如用户名称、目录路径)。建议定期备份配置文件(如/etc/passwd、/etc/group、服务配置文件),并在测试环境验证变更后再应用于生产环境。
