linux用户权限最小化核心是“按需赋权”,即只授予完成任务必需的最低权限;需创建专用低权限账户、精细配置sudo白名单、严格控制文件目录权限,并持续审计加固。
Linux用户权限最小化,核心是“按需赋权”——只给完成任务所必需的最低权限,不额外开放任何能力。这能大幅降低误操作、提权攻击和横向移动的风险。
创建专用低权限账户代替root
日常运维避免直接使用root或sudo执行所有命令。应为不同服务或任务创建独立的系统用户,限制其主目录、Shell访问和可执行命令范围。
- 用adduser –shell /bin/bash –home /opt/appuser appuser创建受限账户
- 禁用密码登录:passwd -l appuser,仅允许密钥认证
- 通过usermod -s /usr/sbin/nologin appuser关闭交互式Shell(如仅需运行守护进程)
精细控制sudo权限而非全量授权
避免%wheel ALL=(ALL) ALL这类宽泛配置。应在/etc/sudoers.d/中为每个角色定义明确命令白名单。
- 例如:允许备份用户仅执行rsync和tar特定路径:backupuser ALL=(root) NOPASSWD: /usr/bin/rsync /var/www/* /backup/, /bin/tar -cf /backup/*.tar /var/log/nginx/
- 用sudo -l验证当前用户实际可用命令,防止配置遗漏或覆盖
- 启用requiretty和env_reset防止环境变量注入
文件与目录权限遵循“默认拒绝”原则
敏感配置文件(如/etc/shadow、/root/.ssh/)必须严格限制读写权限;服务数据目录避免设置全局可写(777)。
- 检查异常权限:find /etc -type f -perm -o+w 2>/dev/NULL(找出其他用户可写的配置文件)
- 对Web服务目录,用chown -R www-data:www-data /var/www/html + chmod -R 750 /var/www/html,禁止组外访问
- 启用umask 027(在/etc/profile或用户shell配置中),确保新建文件默认不向“others”开放写权限
定期审计与自动化加固
最小权限不是一次性配置,需持续验证。借助工具识别越权行为和配置漂移。