Linux权限隔离通过五层机制实现:一、最小权限专用用户;二、主/附加组资源归属隔离;三、umask与ACL细化访问控制;四、sudoers命令白名单限制;五、SELinux/AppArmor进程级约束。
在Linux系统中,用户与用户组的管理是实现权限隔离的核心机制。通过合理划分用户身份、设置用户所属组别及配置文件访问权限,可以有效控制不同用户对系统资源的操作范围。以下是围绕权限隔离目标展开的设计思路说明:
一、基于最小权限原则创建专用用户
每个需要访问系统的实体应拥有独立账户,且仅授予其完成任务所必需的最低权限,避免使用root或高权限账户执行日常操作。
1、使用useradd命令创建无登录shell的系统用户:sudo useradd -r -s /sbin/nologin appuser
2、为交互式用户设置受限shell并禁用密码登录:sudo useradd -s /usr/sbin/rbash -m devuser
3、为该用户生成SSH密钥对并禁用密码认证:sudo passwd -l devuser
二、利用主组与附加组实现资源归属隔离
Linux中每个用户有唯一主组,同时可属于多个附加组;文件默认继承创建者主组,而组权限决定同组成员能否访问,因此需精确规划组结构以隔离资源访问域。
1、创建职能分离的组:sudo groupadd -g 1001 webadmin && sudo groupadd -g 1002 dboperator
2、将用户添加至对应职能组(不设为主组):sudo usermod -aG webadmin,dboperator deployer
3、设置目录所属组并启用setgid位,确保新创建文件自动继承父目录组:sudo chgrp webadmin /var/www/html && sudo chmod g+s /var/www/html
三、结合umask与ACL细化默认访问控制
umask控制新建文件的默认权限掩码,ACL则允许对特定用户或组单独授权,二者配合可在不破坏基础权限模型的前提下增强隔离粒度。
1、为特定用户设置会话级umask值:echo "umask 007" >> /home/appuser/.bashrc
2、对敏感日志目录启用ACL,仅允许审计组读取:sudo setfacl -m g:auditgroup:r-x /var/log/app/
3、禁止其他用户遍历该目录路径中的上级目录:sudo chmod 750 /var/log && sudo chmod 750 /var/log/app
四、使用sudoers策略限制命令执行边界
通过/etc/sudoers配置细粒度命令白名单,使普通用户仅能在指定上下文中执行授权操作,从而避免提权风险和误操作影响。
1、编辑sudoers文件启用免密执行特定脚本:sudo visudo -f /etc/sudoers.d/deploy-policy
2、添加限制性规则,禁止shell逃逸:deployer ALL=(www-data) NOPASSWD: /usr/local/bin/deploy.sh
3、在脚本内强制校验运行环境变量与当前工作目录:if [ "$SHELL" != "/bin/bash" ] || [ "$(pwd)" != "/opt/deploy" ]; then exit 1; fi
五、启用SELinux或AppArmor强化进程级访问约束
传统DAC机制依赖用户/组身份,而SELinux或AppArmor提供MAC模型,在内核层强制限制进程可访问的文件、端口、系统调用等资源,形成纵深防御。
1、确认SELinux处于enforcing模式并启用targeted策略:sudo sestatus -v | grep -E "(Current.*mode|Policy.*name)"
2、为自定义服务创建最小化SELinux策略模块:sudo sepolicy generate --init /usr/local/bin/monitor-agent
3、加载策略并验证进程上下文是否正确绑定:sudo semodule -i monitor-agent.pp && ps -eZ | grep monitor-agent
