系统权限管理

1. 用户和组管理

创建用户

sudo useradd -m -s /bin/bash newuser

设置用户密码

sudo passwd newuser

删除用户

sudo userdel -r olduser

修改用户信息

sudo usermod -l newusername oldusername
sudo usermod -d /home/newdir newuser
sudo usermod -s /bin/zsh newuser

添加用户到组

sudo usermod -a -G groupname newuser 
sudo gpasswd -a newuser groupname

删除用户从组

sudo gpasswd -d newuser groupname 

查看用户和组信息

id newuser
groups newuser

2. 文件和目录权限管理

查看文件权限

ls -l /path/to/file 

修改文件权限

数字表示法

• 设置文件为所有者可读写、组用户可读、其他用户无权限：sudo chmod 640 /path/to/file

符号表示法

• 添加所有者执行权限： sudo chmod u+x /path/to/file
• 移除组用户写权限： sudo chmod g-w /path/to/file

修改文件所有者

sudo chown newuser /path/to/file
sudo chown newuser:newgroup /path/to/file

修改文件所属组

sudo chgrp newgroup /path/to/file

递归修改权限和所有者

• 递归设置目录及其子目录的权限： sudo chmod -R 755 /path/to/directory
• 递归更改目录及其子目录的所有者： sudo chown -R newuser:newgroup /path/to/directory

3. 使用 umask 设置默认权限

umask 命令用于设置创建文件和目录时的默认权限。

查看当前的 umask 值

umask

设置 umask 值

umask 022

4. 访问控制列表（ACL）

ACL 提供了更细粒度的权限管理。

安装 acl 工具

sudo apt-get install acl  # 对于Debian/Ubuntu系统
sudo yum install acl      # 对于CentOS/RHEL系统

查看文件的 ACL

getfacl /path/to/file

设置文件的 ACL

• 为用户 newuser 设置读写权限： setfacl -m u:newuser:rw /path/to/file
• 为组 newgroup 设置读权限： setfacl -m g:newgroup:r /path/to/file
• 为其他用户设置执行权限： setfacl -m o::x /path/to/file

递归设置目录的 ACL

setfacl -R -m u:newuser:rw /path/to/directory

5. SELinux 和 AppArmor

SELinux 和 AppArmor 是增强系统安全性的工具，可以限制程序的权限。

SELinux

• 检查 SELinux 状态： getenforce
• 临时将 SELinux 设置为 Permissive 模式： sudo setenforce 0
• 永久修改 SELinux 配置： 编辑 /etc/selinux/config 文件，设置 SELINUX=permissive 或 SELINUX=enforcing。

AppArmor

• 检查 AppArmor 状态： sudo aa-status
• 启用或禁用 AppArmor： sudo systemctl enable apparmor sudo systemctl start apparmor