用户组权限及高级权限管理:从基础到企业级 sudo 提权实战

在 Linux/Unix 系统里,权限管理不是一个可有可无的小功能,而是系统安全的第一道防线。无论是个人电脑、企业服务器还是云环境,权限配置直接影响系统的稳定性和安全性。

一、Linux 权限模型基础

Linux 的权限控制有三大核心元素:

1. 用户(User)

  • 系统中的单个账号
  • 每个文件有一个属主(Owner)

2. 用户组(Group)

  • 用户的集合,用于批量分配权限
  • 每个文件有一个属组(Group Owner)
  • 用户可以属于一个主组多个附加组

3. 其他人(Others)

  • 不属于文件属主或属组的用户

文件权限位(rwx)

  • r = read(读)
  • w = write(写)
  • x = execute(执行)

文件的权限分三组:

-rwxr-x---^^^  ^  ^|   |  └── Others(其他人)|   └──── Group(组)└──────── User(属主)

例如:

-rw-r----- 1 alice devteam 2048 Aug 8 report.doc
  • 属主 alice:rw-
  • 属组 devteam:r–
  • 其他人:无权限

二、用户与组管理命令

用户管理

# 添加用户
sudo useradd -m -s /bin/bash alice# 修改用户信息
sudo usermod -s /bin/zsh alice  # 改 shell
sudo usermod -aG devteam alice  # 添加到附加组# 删除用户
sudo userdel -r alice  # -r 删除 home 目录

组管理

# 添加组
sudo groupadd devteam# 把用户添加到组
sudo gpasswd -a bob devteam# 从组移除用户
sudo gpasswd -d bob devteam

三、高级权限:SUID / SGID / Sticky Bit

1. SUID(Set User ID)

  • 可执行文件在运行时,临时获得文件属主的权限
  • 常用于普通用户运行需要 root 权限的程序
chmod u+s /usr/bin/passwd

/usr/bin/passwd 就用 SUID 让普通用户修改自己密码

2. SGID(Set Group ID)

  • 目录:新建文件自动继承目录的属组
  • 文件:执行时临时获得属组权限
chmod g+s /shared/projects

3. Sticky Bit

  • 用在公共可写目录(如 /tmp
  • 防止用户删除他人文件
chmod +t /tmp

四、sudo 提权机制

基础原理

sudo 允许普通用户以其他用户(通常是 root)身份执行命令,并可进行精细化控制。

配置文件

  • 位于 /etc/sudoers
  • 必须visudo 编辑,防止语法错误锁死系统

基本配置示例

# 允许用户 alice 无密码执行 systemctl restart nginx
alice ALL=(ALL) NOPASSWD: /bin/systemctl restart nginx# 允许 devteam 组内所有用户执行 /opt/deploy.sh
%devteam ALL=(ALL) /opt/deploy.sh

五、企业实战案例:安全的 sudo 提权

背景

某互联网公司有 50 台生产服务器,研发团队需要:

  • 重启 Nginx
  • 部署更新
  • 查看日志

但不能给他们root 的完整权限

实施方案

1. 建立用户组
sudo groupadd webops
sudo usermod -aG webops alice
sudo usermod -aG webops bob
2. 创建部署脚本

/opt/deploy.sh

#!/bin/bash
git pull origin main
systemctl restart nginx

sudo chown root:webops /opt/deploy.sh
sudo chmod 750 /opt/deploy.sh
3. 配置 sudoers
%webops ALL=(ALL) NOPASSWD: /opt/deploy.sh, \/bin/systemctl status nginx, \/usr/bin/tail -n 100 /var/log/nginx/error.log
4. 安全控制
  • 禁止直接编辑 /etc/sudoers,统一用 visudo
  • 使用 sudo -l 让用户查看自己被允许的命令
  • 日志审计:/var/log/securejournalctl -u sudo

效果

  • 研发能完成部署与重启
  • 不能乱执行其他 root 命令
  • 所有 sudo 操作可审计、可追溯

六、安全建议

  1. 最小权限原则:只授予执行任务所需的最少命令
  2. 组管理优先于单用户配置,方便批量调整
  3. 配合审计,记录所有 sudo 操作
  4. 分离环境:生产、测试、开发机器权限隔离
  5. 定期复查 /etc/sudoers 和组成员

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.pswp.cn/web/92486.shtml
繁体地址,请注明出处:http://hk.pswp.cn/web/92486.shtml
英文地址,请注明出处:http://en.pswp.cn/web/92486.shtml

如若内容造成侵权/违法违规/事实不符,请联系英文站点网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

oracle-plsql理解和操作

oracle-plsql理解和操作

1、plsql的概念PL/SQL(Procedural Language/SQL)是一种过程化语言,属于第三代语言,它与C、C、Java等语言一样关注于处理细节,可以用来实现比较复杂的业务逻辑。它允许SQL的数据操纵语言和查询语句包含在块结构(block_structured)和代码过程语…
阅读更多...
数据库恢复技术:保障数据安全的关键

数据库恢复技术:保障数据安全的关键

文章目录前言数据库恢复技术一、事务的基本概念二、数据库恢复概述三、故障类型与恢复策略1. 故障分类2. 恢复策略与步骤四、恢复实现技术1. 数据转储(备份)2. 日志文件(Logging)3. 检查点技术(Checkpoint)…
阅读更多...
C++归并排序

C++归并排序

1 算法核心思想归并排序是一种高效的排序方式,需要用到递归来实现,我们先来看一下动图演示:算法核心思想如下:1.将数组尽量平均分成两段。2.将这两段都变得有序(使用递归实现)。3.将两段合并。2 代码实现首…
阅读更多...
机器学习算法篇(四)决策树算法

机器学习算法篇(四)决策树算法

目录 一、决策树概述 1.1 概述 1.2 基本数学原理 二、熵原理形象解读与计算 2.1 熵的概念 2.2 熵的计算示例 2.3 条件熵 三、决策树构造实例 3.1 数据集示例 3.2 计算信息增益 3.3 递归构建决策树 四、信息增益和信息增益率 4.1 信息增益的缺陷 4.2 信息增益率 4…
阅读更多...
React 状态管理入门:从 useState 到复杂状态逻辑

React 状态管理入门:从 useState 到复杂状态逻辑

作为前端新手,在学习 React 时,useState 往往是我们接触的第一个 Hook。很多人最初会觉得它只能处理简单的计数器之类的状态,但实际上,useState 配合其他 Hook(尤其是 useEffect)可以轻松管理各种复杂状态。…
阅读更多...
DirectX 修复工具检测 C++ 异常的七大解决方法

DirectX 修复工具检测 C++ 异常的七大解决方法

在使用电脑的过程中,尤其是在进行与图形处理、游戏运行或多媒体应用相关的操作时,我们可能会用到 DirectX 修复工具。然而,有时这个工具在运行时会检测到 C 异常,这无疑给我们带来了困扰。那么,当遇到这种情况时&#…
阅读更多...
0.2. RAII原则:嵌入式C++的基石 (Resource Acquisition Is Initialization)

0.2. RAII原则:嵌入式C++的基石 (Resource Acquisition Is Initialization)

在C语言的世界里,我们背负着一项沉重而危险的职责:手动管理所有资源。无论是 malloc 后的 free,fopen 后的 fclose,还是获取互斥锁后的释放,程序员都必须在代码的每一个可能的退出路径上,确保资源被正确释放…
阅读更多...
Uniworld-V1、X-Omni论文解读

Uniworld-V1、X-Omni论文解读

目录 一、Uniworld-V1 1、概述 2、架构 3、训练过程 4、实验 二、X-Omni 1、概述 2、方法 一、Uniworld-V1 1、概述 动机:当前统一模型虽然可以实现图文理解和文本生成任务,但是难以实现图像感知(检测/分割)与图像操控&am…
阅读更多...
安全常见漏洞

安全常见漏洞

一、OWASP Top 101.注入漏洞(1)SQL 注入原理:通过用户输入注入恶意SQL代码示例:sql-- 恶意输入OR 11 -- 可能被注入的SQL SELECT * FROM users WHERE username OR 11 AND password (2)防护措施:使用参数化查询使用ORM框架实施最小权限原则…
阅读更多...
管网遥测终端机——管网安全与效率的守护者

管网遥测终端机——管网安全与效率的守护者

管网遥测终端机是一款智能化的管网监测与管理设备,它采用先进的物联网技术和自动化控制技术,能够全天候不间断地对管网系统进行实时监测。该设备通过集成高精度传感器、稳定可靠的通信模块和强大的数据处理单元,构建了一套完整的管网运行数据…
阅读更多...
AIIData商业版v1.4.1版本发布会

AIIData商业版v1.4.1版本发布会

🔥🔥 AllData大数据产品是可定义数据中台,以数据平台为底座,以数据中台为桥梁,以机器学习平台为中层框架,以大模型应用为上游产品,提供全链路数字化解决方案。 ✨杭州奥零数据科技官网&#xff…
阅读更多...
【Layui】调整 Layui 整体样式大小的方法

【Layui】调整 Layui 整体样式大小的方法

Layui 的默认样式确实偏大,但你可以通过以下几种方法来调整整体大小: 使用缩放方法(最简单) 在 HTML 的 中添加以下 CSS: <style> html {font-size: 14px; /* 调整基础字体大小 */transform: scale(
阅读更多...
MySQL连接数调优实战:查看与配置

MySQL连接数调优实战:查看与配置

MySQL HikariCP 连接数调优实战&#xff1a;如何查看用量 & 合理配置 max_connections 在做 Java 后端开发时&#xff0c;我们经常会遇到 MySQL 连接数配置问题&#xff0c;比如&#xff1a; max_connections 配多少合适&#xff1f;HikariCP 的 maximum-pool-size 要不要…
阅读更多...
周志华院士西瓜书实战(一)线性规划+多项式回归+逻辑回归+决策树

周志华院士西瓜书实战(一)线性规划+多项式回归+逻辑回归+决策树

目录 1. 线性规划 2. 多项式回归 3. 逻辑回归手写数字 4. Pytorch MNIST 5. 决策树 1. 线性规划 先生成 Y1.5X0.2ε 的&#xff08;X,Y&#xff09;训练数据 两个长度为30 import numpy as np import matplotlib.pyplot as plt def true_fun(X): # 这是我们设定的真实…
阅读更多...
端到端供应链优化案例研究:需求预测 + 库存优化(十二)

端到端供应链优化案例研究:需求预测 + 库存优化(十二)

本篇文章聚焦于供应链中的库存优化&#xff0c;技术亮点在于通过机器学习改进预测精度&#xff0c;成功将预测误差降低25%&#xff0c;并在六个月内实现库存过剩减少40%。该方法适用于需要优化库存和提升服务水平的商业场景&#xff0c;特别是制药行业&#xff0c;帮助企业在降…
阅读更多...
Harbor 企业级实战:单机快速上手 × 高可用架构搭建 × HTTPS安全加固

Harbor 企业级实战:单机快速上手 × 高可用架构搭建 × HTTPS安全加固

文章目录一、建立项目二、命令行登录harbor&#xff08;配置在客户端即可&#xff09;三、给本地镜像打标签并上传到harbor四、下载harbor的镜像五、创建自动打标签上传镜像脚本六、修改harbor配置七、实现harbor高可用7.1 安装第二台harbor主机7.2 新建目标&#xff0c;输入第…
阅读更多...
进程管理、系统高负载、cpu超过800%等实战问题处理

进程管理、系统高负载、cpu超过800%等实战问题处理

进程管理与高负载实战&#xff1a;CPU 飙到 800% 时的分析与处理 在生产环境中&#xff0c;系统高负载和 CPU 异常占用是运维工程师最常面对的场景之一。 这篇文章将从进程管理基础讲起&#xff0c;到高负载问题定位&#xff0c;再到CPU 占用 800% 的实战处理&#xff0c;帮助你…
阅读更多...
控制建模matlab练习12:线性状态反馈控制器-①系统建模

控制建模matlab练习12:线性状态反馈控制器-①系统建模

此练习&#xff0c;主要是使用状态空间方程来设计控制器的方法和思路&#xff1a; ①系统建模&#xff1b; ②系统的能控性&#xff1b; ③极点配置&#xff1b; ④最优化控制LQR&#xff1b; ⑤轨迹追踪&#xff1b; 以下是&#xff0c;第①部分&#xff1a;系统建模&#xff…
阅读更多...
bytearray和bytes

bytearray和bytes

bytearray和bytes不一样的地方在于&#xff0c;bytearray是可变的。 str 人生苦短&#xff0c;我用Python! bytes bytearray(str.encode()) bytes bytearray(b\xe4\xba\xba\xe7\x94\x9f\xe8\x8b\xa6\xe7\x9f\xad\xef\xbc\x8c\xe6\x88\x91\xe7\x94\xa8Python!) str bytes.d…
阅读更多...
护网行动之后:容器安全如何升级?微隔离打造内网“微堡垒”

护网行动之后:容器安全如何升级?微隔离打造内网“微堡垒”

护网行动刚刚落下帷幕&#xff0c;但这场没有硝烟的攻防演练&#xff0c;留给安全行业的思考却从未停止。当“横向移动”成为攻击方屡试不爽的杀手锏时&#xff0c;一个过去可能被忽视的角落——容器网络安全&#xff0c;在本届护网中被推到了前所未有的高度。面对云原生时代容…
阅读更多...
最新文章

Copyright @ 2022~2023