Linux如何设置用户权限？

核心权限管理方法

通过用户组分配权限（推荐）

原理：将用户加入预定义或自定义的用户组,通过组权限间接控制用户权限。

• 步骤1：创建用户组（若组不存在）

  sudo groupadd developers  # 创建名为developers的组

• 步骤2：将用户加入组

  sudo usermod -aG developers username  # 将用户username加入developers组

  -aG 参数表示追加（不覆盖原有组），username 替换为实际用户名。

• 步骤3：为组分配目录权限

  sudo chgrp developers /path/to/directory  # 将目录所属组改为developers
  sudo chmod 775 /path/to/directory        # 组内用户可读/写/执行

  权限说明：

  • 775：所有者（7=rwx）、所属组（7=rwx）、其他用户（5=r-x）
  • rwx = 读(4)+写(2)+执行(1)，数字相加即权限值（如rwx=7）

使用sudo授予管理员权限

适用场景：允许普通用户执行特权命令（如安装软件、修改系统配置）。

• 步骤1：将用户加入sudo组（Ubuntu/Debian）

  sudo usermod -aG sudo username

• 步骤2：或手动编辑sudoers文件

  sudo visudo  # 安全编辑sudo配置

  添加以下行（允许username执行所有命令）：

  username ALL=(ALL:ALL) ALL

  安全提示：限制权限范围,例如仅允许重启服务：

  username ALL=(root) /usr/bin/systemctl restart nginx

直接修改文件/目录权限

适用场景：为特定用户定制资源权限。

• 更改文件所有者：

  sudo chown username:groupname /path/to/file  # 同时修改所有者和组
  sudo chown username /path/to/file           # 仅修改所有者

• 设置权限标志：

  sudo chmod u+rwx,g+rx,o-rwx /path/to/dir  # 所有者(rwx)、组(rx)、其他用户(无权限)

  或使用数字形式：

  sudo chmod 750 /path/to/dir  # 所有者=rwx(7), 组=rx(5), 其他=无权限(0)

高级权限管理

访问控制列表（ACL）

适用场景：为单个用户/组设置精细权限（超越传统9位权限）。

• 启用ACL：确保分区挂载时启用acl选项（查看/etc/fstab）。
• 设置ACL规则：

  sudo setfacl -m u:username:rwx /path/to/dir  # 赋予用户username rwx权限
  sudo setfacl -m g:developers:rx /path/to/dir # 赋予组read/execute权限

• 查看ACL：

  getfacl /path/to/dir

特殊权限位

• SUID：允许用户以文件所有者身份执行（如passwd命令）：

  sudo chmod u+s /path/to/binary

• SGID：目录内新建文件继承组权限：

  sudo chmod g+s /path/to/dir

• Sticky Bit：仅允许所有者删除目录内文件（如/tmp）：

  sudo chmod +t /path/to/dir

安全最佳实践

1. 最小权限原则：避免直接赋予用户root权限,优先通过组管理。
2. 定期审计：

   sudo grep -E 'sudo|admin' /etc/group  # 检查特权组成员
   sudo ls -l /path/to/critical_dir     # 验证目录权限

3. 隔离敏感目录：对/home/、/etc/、/var/log/等目录设置严格权限（如750）。
4. 禁用无用账户：及时锁定不活跃用户：

   sudo usermod -L username  # 锁定账户
   sudo passwd -l username   # 同上（兼容性更好）

权限验证与故障排查

• 检查用户所属组：

  groups username  # 显示用户所在组
  id username      # 查看用户UID/GID信息

• 测试权限：

  su - username          # 切换用户
  cat /path/to/file      # 测试读权限
  echo "test" > test.txt # 测试写权限
  ./script.sh            # 测试执行权限

引用说明：本文操作基于Linux权限模型（POSIX标准），参考man手册权威文档：

• 用户/组管理：man useradd, man usermod, man groupadd
• 文件权限：man chmod, man chown, man setfacl
• sudo配置：man sudoers

通过合理配置用户组、sudo规则及文件权限，可构建安全高效的Linux权限体系，始终遵循“按需授权”原则，定期审查权限分配,确保系统安全。