Linux账号安全管理指南_Linux限制用户访问权限步骤-linux运维-PHP中文网

Linux账号安全管理指南_Linux限制用户访问权限步骤

舞姬之光

发布： 2025-12-15 23:15:31

原创

930人浏览过

Linux账号安全核心是最小权限原则，需清理非必要账号、限制登录时段与会话数、用ACL精细控制文件权限、以sudo替代su并审计日志。

linux账号安全管理指南_linux限制用户访问权限步骤

Linux账号安全和访问权限控制，核心是“最小权限原则”——只给用户完成任务必需的权限，不多也不少。实际操作中，重点不在功能堆砌，而在策略清晰、配置可靠、日志可查。

系统默认会创建大量服务账户（如daemon、ftp、mail等），它们通常不需要登录能力。放任不管可能成为攻击入口。

把非交互式用户的shell设为/sbin/nologin或/usr/sbin/nologin： usermod -s /sbin/nologin username
长期不用的账号直接锁定密码：passwd -l username（会在/etc/shadow中密码字段前加!）
确认关键账号文件不可被普通用户修改：chattr +i /etc/passwd /etc/shadow（需root执行；解锁用chattr -i）

光管“能不能登”，不如管“登上去能干啥”。这需要分层控制：

登录时段控制：编辑/etc/security/time.conf，例如
sshd;*;devuser;!Al0900-1700 → devuser只能在工作时间通过SSH登录
并发会话数限制：在/etc/security/limits.conf中添加
devuser hard maxsyslogins 2 → 同一用户最多2个活跃登录会话
命令历史与自动登出：
设置HISTSIZE=50和TMOUT=600（写入/etc/profile），让终端闲置10分钟自动退出，且不保留过多命令记录

传统rwx权限太粗，尤其多人协作时。ACL（访问控制列表）是更实用的选择：

万相营造

阿里妈妈推出的AI电商营销工具

168

启用ACL支持（多数现代发行版默认开启），检查挂载选项：
mount | grep "$(df . | tail -1 | awk '{print $1}')" | grep acl
给特定用户授予某目录的读写权限，不影响原属组设置：
setfacl -m u:reporter:r-x /var/log/app/
设默认ACL，让该目录下新建文件自动继承权限：
setfacl -d -m u:reporter:r-x /var/log/app/

su容易导致权限泛滥，sudo则可精确到命令级，并全程留痕：

禁止普通用户直接su到root，只允许通过sudo执行指定操作
用visudo编辑/etc/sudoers，例如：
%ops ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart nginx, /bin/journalctl -u nginx
所有sudo操作默认记录在/var/log/secure或/var/log/auth.log，定期检查异常调用

基本上就这些。不复杂但容易忽略的是：每改一项，都建议先在测试账号上验证，再批量应用；所有关键配置变更，最好配合auditd或至少开启PAM日志，确保行为可追溯。

以上就是Linux账号安全管理指南_Linux限制用户访问权限步骤的详细内容，更多请关注php中文网其它相关文章！