如何设置服务器权限？

权限设置最佳实践

在服务器管理的世界里，权限（Permissions）就像是你王国大门的钥匙，给对了钥匙，访客畅通无阻；给错了钥匙，或是管理不善，轻则门户洞开，重则城堡倾覆，如何科学、安全地分配服务器权限，是每一位管理员必须精通的技能，这不仅关乎效率，更是安全防线的基石，我们就深入探讨服务器权限设置的核心原则和实操步骤。

核心原则：最小权限原则（Principle of Least Privilege - PoLP）

这是权限设置的黄金法则，也是所有安全实践的出发点，它要求：

1、只给必要权限： 任何用户（无论是真实用户还是应用程序）只能获得完成其特定任务所必需的最低限度权限，绝不多给一分。

2、按需分配： 权限不是永久不变的，当用户的任务发生变化或结束时，应及时调整或收回权限。

3、避免“上帝模式”： 绝对禁止随意使用root 账户进行日常操作。root 权限是核按钮，只在绝对必要时使用。

为什么 PoLP 至关重要？ 它能最大程度地限制潜在损害，如果一个低权限账户被入侵，攻击者所能触及的范围非常有限，反之，一个拥有不必要高权限的账户被攻破，后果可能是灾难性的。

关键设置步骤与最佳实践

1、用户与用户组管理：结构化授权的基础

创建专属用户 为每个需要访问服务器的真实用户或服务（如 Web 服务器、数据库）创建独立的系统账户。避免共享账户！

利用用户组（Groups） 这是实现 PoLP 的关键工具，将具有相同权限需求的用户归入同一个组。

webadmin 组管理网站文件和配置。

dbadmin 组管理数据库。

developers 组访问代码仓库和测试环境。

权限赋予组 将目录和文件的读写执行权限赋予对应的组，而不是直接赋予单个用户，这样，管理组员就等于管理权限，效率更高。

2、文件系统权限：Linux 的 chmod/chown 与 Windows 的 ACL

理解基础权限位（Linux）r (读),w (写),x (执行)，权限分配给三类对象：文件所有者（u）、所属组（g）、其他用户（o），使用chmod 命令设置（如chmod 750 directory/ 表示所有者有rwx，组有r-x，其他用户无权限）。

精确控制所有权（chown） 使用chown 命令确保文件和目录的所有者及所属组正确（如chown user:group filename）。

善用特殊权限位（谨慎）setuid,setgid,sticky bit 在特定场景有用（如共享目录），但设置不当会引入风险，需深刻理解后再使用。

Windows ACL（访问控制列表） 提供更细粒度的控制，通过文件/文件夹属性 -> 安全选项卡，可以精确添加/删除用户或组的权限项（如完全控制、修改、读取和执行、读取、写入等），遵循 PoLP，移除不必要的“Everyone”或“Users”组的写入权限。

3、超级用户权限（sudo）的精妙控制：告别 root 登录

禁用 root SSH 登录 在 Linux 的/etc/ssh/sshd_config 中设置PermitRootLogin no，这是防止暴力破解的首要防线。

配置 sudoers 文件 (/etc/sudoers):

* 使用visudo 命令编辑，避免语法错误导致锁定。

为特定用户或组授予运行特定命令的sudo 权限，格式示例

%webadmin ALL=(ALL:ALL) /usr/bin/systemctl restart apache2, /usr/bin/systemctl reload apache2 (允许 webadmin 组成员重启和重载 Apache)。

john ALL=(ALL:ALL) /usr/bin/apt update, /usr/bin/apt upgrade (允许 john 用户更新系统包)。

避免ALL=(ALL:ALL) ALL 这种配置赋予用户完全的sudo 权限，等同于 root，严重违背 PoLP。

要求密码（或密钥） 通常配置sudo 需要用户输入自己的密码进行验证，增加一层安全，在高度安全环境或自动化脚本中，可配置免密，但需极其谨慎。

日志审计sudo 的所有使用都会被记录到系统日志（如/var/log/auth.log 或/var/log/secure），便于追踪和审计。

4、SSH 密钥认证：比密码更安全的通道

强制使用密钥登录 在/etc/ssh/sshd_config 中设置PasswordAuthentication no，密钥（尤其是强密码保护的密钥）比普通密码安全得多，能有效抵御暴力破解。

管理授权密钥 用户的公钥存储在~/.ssh/authorized_keys 文件中，严格管理谁可以添加密钥到此文件。

保护私钥 用户必须妥善保管自己的私钥（id_rsa 等），建议使用强密码加密私钥文件。

5、定期审查与监控：权限管理是持续过程

用户审计 定期检查/etc/passwd (Linux) 或用户管理工具 (Windows)，禁用或删除不再需要的账户。

组审计 检查/etc/group (Linux) 或组管理工具 (Windows)，确保组成员依然合理。

权限审计 定期检查重要目录（如/etc,/home,/var/www）的权限设置是否依然符合 PoLP，可以使用find 命令查找权限过宽的文件（如find / -type f -perm -o+w 查找所有其他用户可写的文件）。

日志监控 密切关注sudo 使用日志、SSH 登录日志、系统日志，及时发现异常活动。

不可忽视的风险与提醒

777 权限是灾难 绝对避免随意使用chmod 777，这意味着所有者、组、其他用户都有读、写、执行权限，几乎等同于门户大开。

慎用递归修改 (-R): 使用chmod -R 或chown -R 修改整个目录树权限时要格外小心，确认范围无误，避免意外扩大权限或破坏系统文件。

理解继承 Linux 下新建文件的默认权限受umask 值影响，Windows 下权限可以继承，务必了解这些机制，避免设置被覆盖。

备份配置 在对/etc/sudoers 或 SSH 配置进行重大修改前，务必备份！一个语法错误可能导致你无法获得必要的管理权限。

个人观点：

服务器权限管理绝非一劳永逸的设置，它更像一门需要持续精进的手艺，每一次权限的赋予，都是在安全与便利之间做一次微妙的权衡，我深信，严格执行最小权限原则，辅以清晰的用户/组结构和细致的sudo 控制，是构建服务器安全防线的核心，永远对root 权限保持敬畏，让日志成为你忠实的哨兵，在权限的世界里，“不信任，常验证”应成为座右铭，宁可多花十分钟复核权限设置，也别为了一时省事，埋下日后难以收拾的安全隐患，服务器的安全，始于对每一把“钥匙”的审慎管理。

文章摘自：https://idc.huochengrm.cn/fwq/10158.html