Linux 权限隔离通过五层机制实现:一、最小权限专用用户;二、主 / 附加组资源归属隔离;三、umask 与 ACL 细化访问控制;四、sudoers 命令白名单限制;五、SELinux/AppArmor 进程级约束。
在 Linux 系统中,用户与用户组的管理是实现权限隔离的核心机制。通过合理划分用户身份、设置用户所属组别及 配置文件 访问权限,可以有效控制不同用户对系统资源的操作范围。以下是围绕权限隔离目标展开的设计思路说明:
一、基于最小权限原则创建专用用户
每个需要访问系统的实体应拥有独立账户,且仅授予其完成任务所必需的最低权限,避免使用 root 或高权限账户执行日常操作。
1、使用 useradd 命令创建无登录 shell 的系统用户:sudo useradd -r -s /sbin/nologin appuser
2、为交互式用户设置受限 shell 并禁用密码登录:sudo useradd -s /usr/sbin/rbash -m devuser
3、为该用户生成 SSH 密钥对并禁用密码认证:sudo passwd -l devuser
二、利用主组与附加组实现资源归属隔离
Linux 中每个用户有唯一主组,同时可属于多个附加组;文件默认继承创建者主组,而组权限决定同组成员能否访问,因此需精确规划组结构以隔离资源访问域。
1、创建职能分离的组:sudo groupadd -g 1001 webadmin && sudo groupadd -g 1002 dboperator
2、将用户添加至对应职能组(不设为主组):sudo usermod -aG webadmin,dboperator deployer
3、设置目录所属组并启用 setgid 位,确保新创建文件自动继承父目录组:sudo chgrp webadmin /var/www/html && sudo chmod g+s /var/www/html
三、结合 umask 与 ACL 细化默认访问控制
umask 控制新建文件的默认权限掩码,ACL 则允许对特定用户或组单独授权,二者配合可在不破坏基础权限模型的前提下增强隔离粒度。
1、为特定用户设置会话级 umask 值:echo “umask 007” >> /home/appuser/.bashrc
2、对敏感日志目录启用 ACL,仅允许审计组读取:sudo setfacl -m g:auditgroup:r-x /var/log/app/
3、禁止其他用户遍历该目录路径中的上级目录:sudo chmod 750 /var/log && sudo chmod 750 /var/log/app
四、使用 sudoers 策略限制命令执行边界
通过 /etc/sudoers 配置细粒度命令白名单,使普通用户仅能在指定上下文中执行授权操作,从而避免提权风险和误操作影响。
1、编辑 sudoers 文件启用免密执行特定脚本:sudo visudo -f /etc/sudoers.d/deploy-policy
2、添加限制性规则,禁止 shell 逃逸:deployer ALL=(www-data) NOPASSWD: /usr/local/bin/deploy.sh
3、在脚本内强制校验运行 环境变量 与当前工作目录:if [“$SHELL” != “/bin/bash”] || [“$(pwd)” != “/opt/deploy” ]; then exit 1; fi
五、启用 SELinux 或 AppArmor 强化进程级访问约束
传统 DAC 机制依赖用户 / 组身份,而 SELinux 或 AppArmor 提供 MAC 模型,在内核层强制限制进程可访问的文件、端口、系统调用等资源,形成纵深防御。
1、确认 SELinux 处于 enforcing 模式并启用 targeted 策略:sudo sestatus -v | grep -E “(Current.*mode|Policy.*name)”
2、为自定义服务创建最小化 SELinux 策略模块:sudo sepolicy generate –init /usr/local/bin/monitor-agent
3、加载策略并验证进程上下文是否正确绑定:sudo semodule -i monitor-agent.pp && ps -eZ | grep monitor-agent
