详解 Linux 用户与文件权限管理

详解 Linux 用户与文件权限管理

1. 引言

在 Linux 操作系统中，用户管理和权限控制是系统安全的重要组成部分。通过有效的用户身份管理和权限控制，不仅可以提高系统的安全性，还能确保资源的合理分配。本文将深入探讨 Linux 中的用户管理、权限机制、提权方法，以及常见问题的排查。

---

2. Linux 用户与用户组

2.1 用户分类

Linux 是一个多用户系统，每个用户都有独立的身份和权限。用户可以分为以下几类：

• 超级用户（root）：UID 为 0，拥有系统的最高权限，能够执行任何操作，包括对系统的全面控制。root 用户的权限无法被普通用户限制，因此应谨慎使用，避免误操作或滥用权限。

• 系统用户（Service Accounts）：这些用户通常用于运行系统服务或后台进程，例如 www-data（Web 服务器用户），mysql（MySQL 数据库用户）。这些用户的 UID 通常小于 1000（具体数值可能根据发行版有所不同）。

• 普通用户（Regular Users）：通常是为了允许人类用户在系统上执行日常操作而创建的账户。UID 通常大于或等于 1000（例如在 Ubuntu 中），并拥有相对受限的权限。

• UID 与 GID 机制：每个用户都有唯一的用户 ID（UID），而每个用户组都有唯一的组 ID（GID）。用户可以属于多个组，用户组用于方便地控制文件和资源的访问权限。

2.2 用户组机制

用户组是 Linux 中的一个重要概念，主要用于集中管理多个用户的权限。每个用户至少属于一个用户组，但可以属于多个附加组。具体分为：

• 主组（Primary Group）：用户创建时会自动分配一个主组，该组的权限在创建新文件时会被继承。例如，useradd 命令会默认为新用户指定一个主组。

• 附加组（Supplementary Groups）：除了主组，用户还可以属于多个附加组，以获得额外的权限。附加组的管理使用 usermod -aG 命令完成。

2.3 相关系统文件

Linux 系统中的用户和组信息通常通过以下文件进行存储：

• /etc/passwd
  该文件包含用户的基本信息。每个用户的信息通常在该文件中占一行，字段间用冒号（:）分隔，格式为：用户名:密码占位符:UID:GID:注释:home目录:默认Shell。
  例子：

  alice:x:1001:1001:Alice User:/home/alice:/bin/bash
  bob:x:1002:1002:Bob User:/home/bob:/bin/bash
  

  这意味着用户名 alice 和 bob，分别对应 UID 和 GID 为 1001 和 1002，home目录分别为 /home/alice 和 /home/bob，他们的默认 Shell 为 /bin/bash。

• /etc/shadow
  该文件存储了用户的加密密码、密码修改时间、密码过期时间等信息。此文件的内容对普通用户不可见，仅 root 用户可以访问。格式为：用户名:加密密码:最后修改日期:最小修改日期:最大修改日期:警告期:不活动期:过期日期:保留字段。
  例子：

  alice:$6$PnLnH65a$J8GZeqI1J4gW52X1.CYpGgT25DEi4vh0wz5Q5KvQ6H9L9ZHeNYrUl9mJ9YrBsEmRRRlmYNir7vXflwWVmiGqv.:18012:0:99999:7:::
  bob:$6$kc47ls5L$Q6TkRr.lh71RZgTDAu3d6BZreHiH3wXMj6cS6iIReHusSlav2F1UwFbg5cQdzGmg55skC1ec5X4J57RYg7h7m.:18012:0:99999:7:::
  

  其中，alice 和 bob 的密码是经过加密处理的（例如 $6$ 表示使用 SHA-512 加密算法），并且设置了密码的最后修改日期和密码过期策略。

• /etc/group
  该文件存储了用户组的信息，格式为：组名:密码占位符:GID:组成员。每个组的信息占一行，字段之间用冒号分隔。组成员可以是多个用户，多个用户用逗号分隔。
  例子：

  developers:x:1001:alice,bob
  admins:x:1002:root,alice
  

  这表示 developers 组的 GID 为 1001，组成员包括 alice 和 bob，而 admins 组的 GID 为 1002，组成员包括 root 和 alice。

• /etc/gshadow
  该文件用于存储组的密码信息。在一些情况下，某些组可以设置密码，允许组成员在加入时验证该密码。该文件的格式与 /etc/group 类似，区别在于它还包含了与组密码相关的信息。格式为：组名:加密密码:组管理员:组成员。
  例子：

  developers:!:root:alice,bob
  admins:!:root:root,alice
  

  其中，developers 组没有设置密码（通过 ! 表示），组管理员是 root，组成员包括 alice 和 bob。同样，admins 组也没有设置密码，组管理员是 root，组成员包括 root 和 alice。

这些文件是 Linux 系统中重要的配置文件，存储了与用户和组相关的关键信息。

---

3. Linux 用户管理

3.1 用户管理命令

Linux 提供了丰富的命令来管理用户和用户账户。常见的用户管理命令包括：

• useradd：用于创建新用户。常见选项包括：

  • -m：为用户创建home目录（如果home目录不存在）。
  • -s：指定用户的默认 Shell（如 /bin/bash、/bin/zsh 等）。
  • -G：将用户添加到一个或多个附加组中。
  • -u：指定用户的 UID。
  • 示例：useradd -m -s /bin/bash alice
    这将创建一个名为 alice 的用户，创建用户home目录 /home/alice，并将默认 Shell 设置为 /bin/bash。

• usermod：用于修改已存在用户的属性。常用选项：

  • -aG：将用户添加到一个或多个附加组，不会移除用户当前所属的组。
  • -s：更改用户的默认 Shell。
  • -u：修改用户的 UID。
  • 示例：usermod -aG sudo alice
    这将用户 alice 添加到 sudo 组，允许其执行具有管理员权限的操作。

• userdel：删除用户及其相关文件。常用选项：

  • -r：删除用户的home目录和邮件目录。
  • 示例：userdel -r alice
    这将删除用户 alice 和其home目录 /home/alice。

• passwd：用于设置或修改用户密码。常用选项：

  • passwd alice：修改用户 alice 的密码。
  • passwd -l alice：锁定用户 alice 的账户，防止其登录。
  • passwd -u alice：解锁已被锁定的用户账户。
  • passwd -e alice：强制用户在下次登录时修改密码。
  • passwd -d alice：删除用户 alice 的密码（使其成为无密码账户）。

3.2 用户组管理命令

Linux 允许用户对用户组进行管理，常见命令如下：

• groupadd：用于创建新组。
  示例：groupadd developers
  这将创建一个名为 developers 的新用户组。

• groupmod：修改现有组的属性。常用选项：

  • -n：修改组名。
  • -g：修改组的 GID（组 ID）。
  • 示例：groupmod -n newname oldname
    这将把组名从 oldname 改为 newname。

• groupdel：删除现有组。
  示例：groupdel developers
  这将删除名为 developers 的用户组。

• groups：查看当前用户所属的所有组。
  示例：groups alice
  这将显示用户 alice 所属的所有组。

• id：查看当前用户的 UID 和所属组的 GID。
  示例：id alice
  输出类似于：

  uid=1001(alice) gid=1001(alice) groups=1001(alice),1002(sudo)
  

  这表示用户 alice 的 UID 为 1001，所属的组 GID 为 1001（alice 组），并且属于附加组 sudo（GID 1002）。

3.3 用户登录状态查看

Linux 提供了一些命令来查看用户的登录状态、登录历史和认证信息，常见的命令包括：

• who：查看当前登录系统的所有用户。
  示例：who
  输出示例：

  alice   tty1         2025-02-21 09:30
  bob     pts/0        2025-02-21 09:40
  

  这表示 alice 和 bob 当前分别通过 tty1 和 pts/0 登录到系统。

• w：除了显示当前用户的登录信息外，还显示每个用户的活动状态、当前正在运行的进程等。
  示例：w
  输出示例：

  09:50:30 up 2 days, 12:30, 3 users, load average: 0.15, 0.20, 0.10
  USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
  alice    tty1     :0               09:30    10:10   0.03s  0.03s -bash
  bob      pts/0    :0               09:40    3.00s  0.02s  0.00s w
  

  这提供了更详细的用户活动信息，如登录时间、空闲时间等。

• last：显示用户的登录历史。
  示例：last
  输出示例：

  alice    tty1     :0               Tue Feb 21 09:30   still logged in
  bob      pts/0    :0               Tue Feb 21 09:40   gone - no logout
  

  这显示了用户的登录和注销历史。 still logged in 表示该用户仍在登录中。

• lastlog：显示所有用户的最后登录时间。
  示例：lastlog
  输出示例：

  Username   Port     From             Latest
  alice      tty1     :0               Tue Feb 21 09:30:00 +0800 2025
  bob        pts/0    :0               Tue Feb 21 09:40:00 +0800 2025
  

  这显示了每个用户的最后登录时间。

• faillog：检查因多次失败的登录尝试而锁定的账户。可以帮助管理员排查因密码错误等问题导致的登录问题。
  示例：faillog
  输出示例：

  Username     Failure Count  Maximum  Last Failure  Date
  alice             0           3       never         -
  bob               1           3       Mon Feb 20 18:55:00 2025
  

  这显示了每个用户失败的登录尝试次数和最后一次失败的时间。

---

这些命令是 Linux 用户管理的基础工具，可以帮助系统管理员有效地管理系统中的用户、组以及登录认证信息。

4. Linux 文件权限管理

4.1 基础权限（传统 Unix 权限）

在 Linux 系统中，文件权限基于传统 Unix 权限模型，这些权限分为三类：用户（owner）、组（group）和其他（others）。每个类都有三个权限项，分别是读取（read, r）、写入（write, w）和执行（execute, x）。每个权限项都有一个对应的数字值：

• rwx 权限：

  • r（4）：可读取文件内容。
  • w（2）：可修改文件内容。
  • x（1）：可执行文件。

  这些权限可以组合成一个三位的数字（例如：755，即 rwxr-xr-x）。

  下面是一个表格，概括了 Linux 文件权限逻辑：

  权限分类	读取 ®	写入 (w)	执行 (x)	数字表示	解释
  用户 (owner)	r (4)	w (2)	x (1)	7 (4+2+1)	对于文件所有者，具有读、写、执行的完全权限
  组 (group)	r (4)	- (0)	x (1)	5 (4+0+1)	对于同组用户，具有读和执行权限，但不能修改（写入）文件
  其他 (others)	r (4)	- (0)	x (1)	5 (4+0+1)	对于其他用户，同样只有读和执行权限

4.1.1 基础权限的管理

• chmod：用于修改文件的权限。chmod 命令有两种常见的使用方式：数字模式和符号模式。

  • 数字模式：每个权限位被赋予一个数字值（r=4，w=2，x=1）。例如：
    • chmod 755 file：给文件 file 设置权限为 rwxr-xr-x。
    • chmod 644 file：给文件 file 设置权限为 rw-r--r--。
  • 符号模式：通过符号来指定权限的添加、删除或修改。
    • chmod u+x file：给文件的所有者（user）添加执行权限。
    • chmod g-w file：从文件的组（group）移除写权限。

• chown：用于修改文件的所有者和所属组。
  示例：chown alice:developers file
  这将文件 file 的所有者改为 alice，并将所属组改为 developers。

• umask：查看或设置文件创建时的默认权限掩码。

  • 示例：umask 022
    这将设置创建文件时的默认权限掩码，使得新文件默认权限为 755，目录权限为 755（rwxr-xr-x）。

4.2 特殊权限

Linux 提供了一些特殊的权限，用于实现更加精细的权限控制，常见的特殊权限有：

• SUID（Set User ID）：当一个文件设置了 SUID 位时，该文件会以文件所有者的身份执行，而不是以当前用户的身份执行。

  • 示例：chmod u+s /usr/bin/passwd
    这将使得 passwd 命令在执行时以文件所有者（通常是 root）的身份运行，允许普通用户修改自己的密码。

• SGID（Set Group ID）：当目录设置 SGID 位时，新创建的文件将继承该目录的组权限。对文件设置 SGID 位时，文件会以文件所属组的身份执行。

  • 示例：chmod g+s /data
    这将使得在 /data 目录下新创建的文件自动继承该目录的组权限。

• Sticky Bit：Sticky Bit 主要用于目录。当目录设置了 Sticky Bit 时，只有文件的所有者或 root 用户可以删除目录中的文件。通常用于公共目录，如 /tmp。

  • 示例：chmod +t /tmp
    这将设置 /tmp 目录的 Sticky Bit，防止普通用户删除其他用户的文件。

4.3 访问控制列表（ACL）

ACL（Access Control List）允许更细粒度的权限管理，它使得用户和组的权限控制更加灵活。ACL 允许给文件或目录分配多个用户和组的不同权限。

• getfacl：查看文件或目录的 ACL 权限。
  示例：getfacl file
  这将显示 file 文件的 ACL 权限信息。

• setfacl：修改文件或目录的 ACL 权限。
  示例：setfacl -m u:alice:rwx file
  这将给用户 alice 赋予文件 file 的读、写和执行权限。

  其他常见选项：

  • -m：修改 ACL 权限。
  • -x：删除指定的 ACL 权限。
  • -b：移除所有 ACL 权限。
  • 示例：setfacl -m g:developers:rx file
    这将给组 developers 赋予文件 file 的读和执行权限。

  在默认情况下，ACL 仅适用于文件或目录，必须明确启用 ACL 才能生效，通常通过挂载文件系统时启用 ACL 支持。

4.4 能力（Capabilities）

能力（Capabilities）是 Linux 中用于实现细粒度权限控制的机制。与传统的 UNIX 权限模型不同，能力可以将超级用户权限拆分为多个独立的权限项，从而使得程序能够执行一些特权操作，而不需要拥有 root 权限。

• setcap：用于设置文件的能力。
  示例：setcap cap_net_raw+ep /usr/bin/ping
  这将为 /usr/bin/ping 程序添加 cap_net_raw 能力，使其能够执行原始套接字操作（如发送 ICMP 请求），而无需 root 权限。

• 常见的能力包括：

  • cap_net_raw：允许创建原始套接字。
  • cap_sys_admin：赋予系统管理员权限，允许进行各种系统级操作。
  • cap_dac_override：允许绕过文件权限检查。

  通过设置适当的能力，可以允许普通用户执行某些高权限操作，而不必赋予其完全的 root 权限，从而提高系统的安全性。

  查看文件的能力：

  • getcap：用于查看文件的能力。
    示例：getcap /usr/bin/ping
    这将显示 ping 文件当前的能力。

---

5. 用户切换与权限提升

在 Linux 系统中，用户切换和权限提升是常见的操作，通常用于执行管理员任务或在不同用户之间切换。Linux 提供了多种工具和方法来完成这些任务，以保证系统的安全性和灵活性。

5.1 用户切换

• su（Substitute User）
  su 命令用于切换到另一个用户。默认情况下，它会切换到 root 用户，但也可以切换到其他指定的用户。

  • 示例：切换到 root 用户

    su
    

    如果当前用户有 root 权限，可以通过 su 直接切换到 root 用户。

  • 示例：切换到其他用户（如 alice）

    su - alice
    

    - 参数表示加载目标用户的环境变量（如用户的 PATH 和 HOME 等）。如果没有 - 参数，则仅切换用户，但不会加载目标用户的环境。

  • 切换到特定用户时需要输入该用户的密码。对于 root 用户，通常会要求输入 root 密码。

• sudo（Superuser Do）
  sudo 命令允许普通用户以超级用户或其他用户身份执行单个命令，而不需要完全切换到目标用户。这是最常见的权限提升工具。

  • 示例：以 root 权限执行命令

    sudo apt update
    

    这将以 root 权限执行 apt update 命令，无需切换到 root 用户。

  • sudo 与 su 的区别：

    • su 完全切换到目标用户，通常是 root 用户，而 sudo 只在执行命令时临时提升权限。
    • sudo 会要求用户输入其自己的密码，而不是目标用户的密码。
    • sudo 的使用会被记录在系统日志中，便于审计。

  • sudo 需要的配置：

    • 用户必须在 /etc/sudoers 文件中被授权使用 sudo。
    • sudo 提供了较为灵活的权限控制，可以配置哪些用户、在哪些主机、可以执行哪些命令。

5.2 sudo 权限管理

sudo 权限管理允许管理员为特定用户指定允许其执行的命令。该权限管理通过 /etc/sudoers 文件进行配置。sudoers 文件支持细粒度的权限设置，可以指定哪些用户、在哪些条件下、以哪些身份执行哪些命令。

• 编辑 /etc/sudoers 配置
  推荐使用 visudo 命令编辑 /etc/sudoers 文件。visudo 可以确保文件的语法正确，避免由于语法错误导致系统无法使用 sudo。

  • 示例：

    sudo visudo
    

    visudo 会自动锁定文件并使用编辑器打开它，通常是 vi 或者你配置的默认编辑器。

• /etc/sudoers 文件的常见配置项：

  • 指定用户权限：

    alice ALL=(ALL) NOPASSWD: /usr/bin/apt
    

    这条规则表示用户 alice 可以在所有主机上（ALL）以所有用户身份（(ALL)）执行 /usr/bin/apt 命令，并且不需要输入密码（NOPASSWD）。这种配置特别适用于自动化任务，避免在执行 sudo 命令时需要人工输入密码。

  • 限制命令执行：

    bob ALL=(ALL) /usr/bin/ls, /bin/cat
    

    这条规则表示用户 bob 只允许在所有主机上（ALL）以 root 身份执行 ls 和 cat 命令，其他命令则会被拒绝。

  • 限制主机访问：

    alice host1 = (root) /usr/bin/apt
    

    这条规则表示用户 alice 仅在 host1 上，以 root 身份执行 apt 命令。

  • 为特定用户组授权：

    %admin ALL=(ALL) ALL
    

    这表示 admin 用户组中的所有用户都有权在所有主机上以 root 身份执行所有命令。

• 常见的 sudoers 配置选项：

  • ALL：表示所有主机（可用于主机名称、IP 地址等）。
  • (ALL)：表示用户可以以任何用户身份执行命令（通常为 root）。
  • NOPASSWD：表示执行命令时不需要输入密码。
  • %groupname：表示用户组，可以给整个组授权。
  • Cmnd_Alias：定义命令别名，可以将多个命令组合在一起。例如：

    Cmnd_Alias APT_CMDS = /usr/bin/apt, /usr/bin/dpkg
    alice ALL=(ALL) NOPASSWD: APT_CMDS
    

• sudoers 配置实例：

  1. 允许用户 alice 执行特定命令而无需密码：

     alice ALL=(ALL) NOPASSWD: /usr/bin/apt-get
     

  2. 允许 sudo 用户组内的所有用户执行命令：

     %sudo ALL=(ALL) ALL
     

  3. 允许 bob 用户在特定主机（server1）上以 root 权限执行特定命令：

     bob server1 = (root) /usr/bin/ls, /usr/bin/cat
     

• sudoers 中的安全注意事项：

  • 避免给用户过多的权限。尽量限制命令的范围，避免给予用户 ALL 权限。
  • 确保配置中没有语法错误，使用 visudo 来检查语法。
  • 尽量避免配置 NOPASSWD，除非对特定自动化脚本或服务进行配置。过多的 NOPASSWD 可能导致安全漏洞。
  • 对用户执行的命令进行严格的限制，仅允许他们执行必要的命令。

---

6. 高级用户管理与安全策略

在 Linux 系统中，高级用户管理与安全策略涉及到对用户认证、权限控制、资源限制等方面的精细化管理。通过配置和管理这些策略，系统管理员可以确保系统的安全性与资源的合理分配。

6.1 密码与认证策略

Linux 提供了多种机制来管理用户密码和认证策略，以提高系统的安全性。

• /etc/login.defs：此文件包含全局的登录设置，包括密码过期策略、最小密码长度等。常见配置项：

  • PASS_MAX_DAYS：设置密码的最大有效期（天数）。
  • PASS_MIN_DAYS：设置密码的最小有效期（天数）。
  • PASS_MIN_LEN：设置密码的最小长度。
  • PASS_WARN_AGE：设置密码过期前的警告天数。

  示例：

  PASS_MAX_DAYS   90
  PASS_MIN_DAYS   7
  PASS_MIN_LEN    8
  PASS_WARN_AGE   7
  

  上述配置表示用户密码最多有效 90 天，最少有效 7 天，密码长度不得少于 8 位，密码过期前 7 天会收到警告。

• chage：用来管理用户密码的有效期和过期策略。常用选项：

  • -M：设置密码的最大有效期。
  • -m：设置密码的最小有效期。
  • -W：设置密码过期前的警告天数。
  • 示例：

    chage -M 90 -m 7 -W 7 alice
    

    这将设置用户 alice 的密码最大有效期为 90 天，最小有效期为 7 天，密码过期前 7 天会收到警告。

• passwd：用于修改密码策略，管理员可以使用 passwd 锁定或解锁用户账户：

  • passwd -l alice：锁定 alice 用户的账户。
  • passwd -u alice：解锁 alice 用户的账户。

6.2 可插拔认证模块（PAM）

PAM（Pluggable Authentication Modules）是一个灵活的认证框架，允许管理员配置多种认证方式，如本地密码认证、基于令牌的认证、LDAP 等。

• /etc/pam.d/：此目录包含 PAM 配置文件，每个服务（如 sshd, login, sudo）都有一个对应的配置文件。PAM 配置文件定义了如何验证用户身份、进行授权等操作。

  • 示例：/etc/pam.d/sshd 配置文件控制 SSH 服务的认证策略：

    # /etc/pam.d/sshd
    auth       required   pam_unix.so
    account    required   pam_unix.so
    password   required   pam_unix.so
    session    required   pam_unix.so
    

  • 常见 PAM 模块：

    • pam_unix.so：基于传统的 UNIX 密码认证方式。
    • pam_tally2.so：用于跟踪登录失败次数。
    • pam_google_authenticator.so：用于启用双因素认证（Google Authenticator）。
    • pam_ldap.so：支持 LDAP 认证。

• pam_tally2：控制登录失败的次数。如果用户尝试登录失败的次数超过设定值，账户将被锁定。常用命令：

  • pam_tally2 -u alice：查看用户 alice 的登录失败次数。
  • pam_tally2 -u alice -r：重置用户 alice 的失败计数。
  • 配置 pam_tally2 锁定账户：

    auth required pam_tally2.so deny=3 unlock_time=900
    

    这表示如果用户连续 3 次登录失败，账户将被锁定 15 分钟（900 秒）。

6.3 资源限制

资源限制有助于防止单个用户占用过多的系统资源，影响系统的稳定性。Linux 提供了多种配置方法来管理资源限制，包括进程数、文件句柄数、内存使用等。

• /etc/security/limits.conf：该文件用于配置用户或用户组的资源限制。常见配置项：

  • * hard nofile 10000：限制所有用户的最大文件句柄数为 10000。
  • alice soft nproc 200：限制用户 alice 的最大进程数为 200。
  • @developers hard memlock 65536：限制 developers 用户组的最大内存锁定为 65536 KB。

  示例：

  *               soft    nofile          10000
  *               hard    nofile          20000
  alice           soft    nproc           200
  @developers     hard    memlock         65536
  

• ulimit：用于查看和设置当前用户的资源限制。常见选项：

  • ulimit -n：查看当前用户可打开的最大文件数（文件句柄数）。
  • ulimit -u：查看当前用户可启动的最大进程数。
  • ulimit -a：查看所有资源限制。
  • ulimit -n 1024：设置当前会话最大文件句柄数为 1024。

  示例：

  ulimit -n 1024  # 设置最大文件句柄数为 1024
  

6.4 审计与日志

审计日志对于系统管理员来说至关重要，它可以帮助追踪用户行为、分析潜在的安全问题和进行故障排查。

• auditd：Linux 审计守护进程，用于监控用户活动并记录相关日志。auditd 会记录文件访问、进程执行、系统调用等行为。

  • 启动和停止审计服务：

    sudo systemctl start auditd
    sudo systemctl stop auditd
    

  • 审计配置文件：/etc/audit/auditd.conf，其中可以配置日志存储位置、最大日志文件大小等。

  • 审计规则：/etc/audit/rules.d/ 存放审计规则文件。通过 auditctl 添加规则。例如，监控对 /etc/passwd 文件的访问：

    auditctl -w /etc/passwd -p wa
    

    这表示记录对 /etc/passwd 文件的写操作和属性变更。

• journalctl：用于查看系统日志。journalctl 可以查看由 systemd 管理的日志。对于 SSH 登录日志，可以使用以下命令：

  journalctl -u sshd
  

  这将显示与 SSH 服务相关的所有日志，包括登录、登出、认证失败等事件。

• 日志管理工具：

  • logrotate：用于管理日志文件，定期旋转、压缩日志文件，以避免占用过多磁盘空间。
  • 配置文件：/etc/logrotate.conf 和 /etc/logrotate.d/ 目录中存放具体的日志文件轮换规则。

---

通过合理配置和管理高级用户管理策略，Linux 系统不仅可以确保系统的稳定性与安全性，还可以为管理员提供强大的工具进行故障排查和审计。密码策略、PAM 配置、资源限制和审计日志的合理结合，能有效防止滥用、提升系统安全性并优化资源使用。

---

7. 用户常见问题及排查

在 Linux 系统中，用户和权限管理是至关重要的，有时用户可能会遇到一些常见的登录、权限等问题。以下是一些常见问题及其排查方法：

7.1 登录失败问题

登录失败可能有多种原因，常见的排查方法包括检查账户状态、用户 Shell 配置等。

• 账号是否被锁定：

  • 可以使用 passwd -S 命令检查用户账户的状态。例如，查看用户 alice 的状态：

    passwd -S alice
    

    输出格式：alice LK 2025-02-20 0 99999 7 -1 (Password set, account locked)。其中，LK 表示账户被锁定。若要解锁账户，可以执行：

    passwd -u alice
    

• Shell 配置问题：

  • 检查用户的默认 Shell 是否被设置为 /sbin/nologin 或 /bin/false，这会导致用户无法登录。可以通过查看 /etc/passwd 文件来确认用户的 Shell 配置：

    grep alice /etc/passwd
    

    示例输出：alice:x:1001:1001:Alice:/home/alice:/sbin/nologin。如果 /sbin/nologin 被设置为 Shell，用户将无法登录。可以修改为有效的 Shell，例如 /bin/bash：

    usermod -s /bin/bash alice
    

• 其他常见登录失败原因：

  • 检查是否存在 .bashrc、.bash_profile 等配置文件的错误，或者文件权限不正确。
  • 查看 /var/log/auth.log 或 /var/log/secure 文件，确认是否有其他登录失败的错误信息。

7.2 权限不足问题

权限不足的问题通常涉及到文件访问权限、用户和组的设置、ACL（访问控制列表）等配置问题。

• ls -l 查看文件权限：

  • 使用 ls -l 命令查看文件或目录的权限。例如：

    ls -l /path/to/file
    

    输出：

    -rwxr-xr-x 1 alice developers 1234 Feb 21 10:00 file
    

    权限解释：
    • rwx 表示文件所有者的权限（读、写、执行）。
    • r-x 表示同组用户的权限（读、执行）。
    • r-x 表示其他用户的权限（读、执行）。

• id 确认用户所属组：

  • 使用 id 命令检查用户所属的组。如果文件的权限限制了用户访问，可以检查用户是否属于目标文件的组。

    id alice
    

    输出：

    uid=1001(alice) gid=1001(developers) groups=1001(developers),1002(testers)
    

• ACL 设置是否影响权限：

  • ACL（访问控制列表）提供了比传统文件权限更细粒度的权限控制。使用 getfacl 命令查看文件的 ACL 设置。例如：

    getfacl /path/to/file
    

    输出：

    # file: /path/to/file
    # owner: alice
    # group: developers
    user::rwx
    user:alice:rwx
    group::r-x
    group:developers:r-x
    mask::r-x
    other::r-x
    

    如果 ACL 配置不当，可能会导致权限问题。可以使用 setfacl 来修改 ACL。

7.3 忘记 root 密码

忘记 root 密码是常见的问题，幸运的是 Linux 提供了一些恢复 root 密码的方法。

1. 重启系统并进入 GRUB 菜单：
   • 在启动时按下 Shift 键（或 Esc，取决于你的系统）进入 GRUB 菜单。
2. 编辑 GRUB 启动选项：
   • 在 GRUB 菜单中，选择要启动的内核，按下 e 键进行编辑。
   • 找到以 linux 开头的行，并将该行的末尾添加 init=/bin/bash。示例：

     linux /boot/vmlinuz-5.4.0-66-generic root=UUID=1234-5678-9abc-xyz ro quiet splash init=/bin/bash
     

3. 启动系统并挂载根文件系统：
   • 按下 Ctrl + X 或 F10 启动系统。
   • 系统会启动并进入 Bash shell。在此模式下，根文件系统通常是只读的，需要重新挂载为可写：

     mount -o remount,rw /
     

4. 重置 root 密码：
   • 使用 passwd 命令重置 root 密码：

     passwd root
     

   • 输入并确认新密码。
5. 重启系统

以上是一些常见的用户问题及排查方法。通过这些方法，管理员可以快速定位和解决大多数常见的登录、权限和密码问题。

---

8. 总结

Linux 的用户与权限管理是系统安全的重要基础。掌握用户管理、权限配置、提权方式，以及常见问题排查方法，可以提高系统的安全性和可维护性。

下一步建议：

• 深入学习 PAM 认证机制。
• 了解强制访问控制MAC, 如: SELinux / AppArmor 提供的额外安全机制。