Ubuntu用户与权限管理：10个秘籍让你成为Linux安全专家

# 1. Ubuntu用户与权限管理基础

## 1.1 用户和权限管理的重要性

在Linux系统中，用户和权限管理是保障系统安全性的基石。理解用户和组的概念、权限的分配以及如何有效地管理这些设置，对于任何IT专业人员来说都是至关重要的。良好的用户管理可以防止未授权访问，而精确的权限设置则可以确保数据安全和操作的合规性。

## 1.2 用户与权限管理基础概念

Linux系统将用户分为三类：所有者（owner）、所属组（group）和其他用户（others）。每个文件和目录都有这些属性，每个用户在访问时都会被系统按照这些属性来判断是否有权限执行相应的操作，如读取、写入或执行。

- **所有者（Owner）**：默认为创建文件或目录的用户，拥有完全控制权。
- **所属组（Group）**：所有者所属的组，组内其他成员有特定的权限。
- **其他人（Others）**：既不是所有者也不是所属组成员的其他用户。

## 1.3 权限的种类和表示方法

权限分为三种：读取（read）、写入（write）、执行（execute）。在文件系统中，通过字符来表示：
- **读取（r）**：可查看文件内容或目录列表。
- **写入（w）**：可修改文件内容或创建/删除目录中的文件。
- **执行（x）**：可运行程序或访问目录。

通过符号（rwx）或数字（7表示可读写执行，4表示只读，6表示读写，5表示读执行等）来设置不同用户和组的权限。

下面示例中，我们将创建一个用户和用户组，并设置相关权限，为之后的操作打好基础。

# 2. 用户账户的创建与维护

## 2.1 创建和删除用户账户

### 2.1.1 使用useradd和userdel命令

在Linux系统中，创建和删除用户账户是一项基础且重要的任务。`useradd`命令用于添加新用户，而`userdel`命令用于删除用户账户。

#### 创建用户账户

要创建一个新用户，可以使用以下命令：

sudo useradd -m -s /bin/bash newuser

- `-m`参数代表创建用户的家目录。
- `-s`参数指定用户的登录shell。
- `newuser`是新创建的用户名。

执行此命令后，系统会创建一个新用户并为其分配一个唯一的用户ID（UID）和一个与UID相对应的组ID（GID），默认情况下，还会创建一个与用户名相同的用户组。

#### 删除用户账户

删除用户账户可以通过以下命令进行：

sudo userdel -r olduser

- `-r`参数确保同时删除用户家目录和邮件目录。

如果不使用`-r`参数，用户的数据（如家目录）将保留在系统中。这是出于安全考虑，以防误删用户数据。

### 2.1.2 用户账户的配置文件和属性

用户账户的具体属性和配置存储在几个关键的文本文件中，主要包括`/etc/passwd`、`/etc/shadow`、`/etc/group`和`/etc/gshadow`。

#### /etc/passwd 文件

`/etc/passwd`文件存储了用户的基本信息。每个用户在该文件中占一行，信息以冒号（:）分隔：

newuser:x:1001:1001::/home/newuser:/bin/bash

- `newuser`是用户名。
- `x`表示密码占位符。
- `1001`是用户ID（UID）。
- `1001`是主要组ID（GID）。
- `/home/newuser`是用户的家目录。
- `/bin/bash`是用户的登录shell。

#### /etc/shadow 文件

`/etc/shadow`文件存储了加密的用户密码和密码相关的属性。例如：

newuser:$6$......:18245:0:99999:7:::

- `newuser`是用户名。
- `$6$`表示密码的加密方式（SHA-512）。
- `......`是加密后的密码。
- `18245`是密码最后一次修改的日期。
- `0`是密码的最小天数间隔。
- `99999`是密码的最大小时数间隔。
- `7`表示密码需要在7天内被更改。

#### /etc/group 和 /etc/gshadow 文件

`/etc/group`文件包含用户组信息，而`/etc/gshadow`文件包含用户组密码和组管理员信息。这两个文件对于管理和配置用户组和组策略同样重要。

通过理解这些文件的作用和内容，系统管理员可以更有效地管理用户账户和提高系统的安全性。在实际操作中，对这些文件的更改应该谨慎进行，因为不当的更改可能会导致系统安全问题或系统功能障碍。

# 3. 文件与目录权限详解

文件权限是Linux系统安全的核心组成部分，它们定义了谁可以读取、写入和执行文件或目录中的文件。在本章节中，我们将深入探讨文件和目录权限的细节，并展示如何使用相关命令来管理这些权限。

## 3.1 权限的基本概念

### 3.1.1 权限的种类和表示方法

在Linux系统中，对于文件和目录的访问权限通常有三类：

- **读（Read）** 权限：允许用户查看文件内容或列出目录下的文件列表。
- **写（Write）** 权限：允许用户修改文件内容或在目录内创建、删除文件。
- **执行（Execute）** 权限：允许用户运行文件作为程序或在目录内查找文件。

权限以字符形式表示：

- 对于用户（u），组（g）和其他用户（o）的权限分别用字符 'r', 'w', 'x' 表示。
- 没有相应权限的位置使用短横线 '-' 表示。

例如，权限字符串 `rw-r--r--` 表示文件所有者可以读写，组成员可以读取，其他用户也可以读取。

### 3.1.2 使用chmod命令修改权限

`chmod` 命令用于修改文件或目录的权限。命令的基本格式是：

chmod [ugoa][+-=][rwx] 文件或目录

例如，若要设置文件 `example.txt` 使得所有用户都可以读写，但只有文件所有者可以执行，可以使用以下命令：

chmod u=rwx,og=rx example.txt

在这个命令中：

- `u` 表示用户（所有者）
- `og` 表示组和其他用户
- `=` 表示设置权限
- `rwx` 是权限字符的组合

## 3.2 特殊权限位与高级权限管理

### 3.2.1 SUID、SGID与sticky bit

除了基本权限之外，还有三个特殊权限位：

- **SUID（Set User ID）**：当用户执行设置了SUID位的可执行文件时，运行进程将具有文件所有者的权限。
- **SGID（Set Group ID）**：与SUID类似，只不过这是针对文件所属的组权限。
- **sticky bit**：最初设计是为了防止删除或重命名其他用户的文件，现在主要用在目录上，确保只有文件所有者能够删除或重命名文件。

使用 `chmod` 命令设置特殊权限位：

chmod u+s example.txt  # 设置SUID
chmod g+s directory   # 设置SGID
chmod +t directory    # 设置sticky bit

### 3.2.2 ACL（Access Control Lists）的使用

ACL为文件系统对象提供了更细致的访问控制。它允许你定义哪些用户或组拥有哪些权限，这比传统的用户、组和其他权限更为灵活。

为文件添加ACL权限：

setfacl -m u:user1:rw example.txt

在上述命令中：

- `-m` 表示修改ACL
- `u:user1:rw` 指定用户`user1`拥有读写权限

查看文件的ACL设置：

getfacl example.txt

## 3.3 文件所有权与安全性

### 3.3.1 chown和chgrp命令的应用

`chown` 命令用于更改文件或目录的所有者：

chown user1 file1

`chgrp` 命令用于更改文件或目录的所属组：

chgrp group1 file1

更改所有权后，我们通常需要考虑更改文件的权限，以确保新的所有者或组的成员能够正确访问文件。

### 3.3.2 理解和应用umask

`umask` 命令用于设置默认的文件和目录权限。它是一个掩码，用于从完全权限中减去某些权限。例如，如果umask为 `022`，则新创建的文件默认权限将是 `644`（`-rw-r--r--`），新创建的目录默认权限将是 `755`（`drwxr-xr-x`）。

查看当前的umask：

umask

要更改umask，可以使用：

umask 002

这将设置默认掩码为 `002`，意味着新创建的文件权限将是 `666`，目录权限将是 `777`，但会自动减去 `002`，结果为 `664` 和 `775`。

### 总结

通过本章节的介绍，我们了解了文件和目录权限的基本概念，学习了如何使用`chmod`、`chown`、`chgrp`命令和`umask`来管理Linux系统中的文件权限。此外，特殊权限位（SUID、SGID、sticky bit）和ACLs的使用提高了系统的灵活性和安全性。掌握这些概念和工具对于维护Linux系统的文件安全至关重要。在下一章节，我们将介绍Ubuntu系统安全加固的高级技巧。

# 4. Ubuntu系统安全加固技巧

随着网络环境的日益复杂，Ubuntu系统的安全成为IT管理者们必须面对的重要任务。系统安全不仅仅是关于抵御恶意攻击，更包括了数据保护、系统完整性以及合规性等多个方面。本章将深入探讨如何通过配置、监控和系统更新等手段加固Ubuntu系统的安全，确保系统可以高效稳定地运行。

## 4.1 安全配置文件和系统服务

### 4.1.1 使用PAM进行服务安全配置

安全策略的配置是保障系统安全的第一步。Pluggable Authentication Modules（PAM）是Linux系统中一个强大的安全框架，允许系统管理员在各种服务上应用安全策略。通过PAM模块，可以实现密码策略、认证机制以及会话管理等安全设置。

- **配置文件解析**

PAM使用`/etc/pam.d/`目录下配置文件来控制认证策略。当一个服务需要进行认证时，它将参考对应的PAM配置文件来决定使用哪些模块和策略。

例如，SSH服务的PAM配置文件通常是`/etc/pam.d/sshd`。在这个文件中，你可以指定密码认证策略，限制认证尝试次数等。

- **示例配置**

  auth       required     pam_sepermit.so
  auth       required     pam_unix.so
  auth       optional     pamISHED.so
  account    required     pam_unix.so broken_shadow
  password   required     pam_unix.so shadow nullok try_first_pass use_authtok
  session    required     pam_limits.so
  session    [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
  session    required     pam_unix.so

这里的每一行都定义了如何使用一个特定的PAM模块。`auth`行定义了认证策略，`account`行管理账户权限，`password`行设置密码更改的规则，而`session`行则在用户会话开始和结束时执行特定的操作。

### 4.1.2 系统服务和守护进程的安全管理

Linux系统中的服务和守护进程是潜在的安全风险点。为了加强这些进程的安全管理，需要定期检查并优化相关配置。

- **服务管理工具**

Ubuntu使用`systemd`作为其主要的服务管理器。`systemctl`命令可以用来启动、停止、重启服务以及设置服务的开机启动状态。

例如，要禁用一个不必要的服务（如telnet），可以执行以下命令：

  sudo systemctl disable telnet
  sudo systemctl stop telnet

此外，可以通过`systemctl status [service_name]`命令检查服务的状态，确保所有关键服务都在正常运行。

- **使用AppArmor进行应用安全配置**

AppArmor是Ubuntu系统上的一种安全模块，它通过设置应用程序的访问权限，帮助限制程序能够访问的文件、目录、网络端口等资源。

通过`/etc/apparmor.d/`目录下的配置文件，可以为服务和守护进程定制安全策略。例如，为Nginx配置AppArmor策略的文件可能是`/etc/apparmor.d/nginx`。

  /etc/nginx/ r,
  /etc/nginx/** rwk,
  /var/log/nginx/ r,
  /var/log/nginx/** rw,
  /var/cache/nginx/ rw,
  /var/cache/nginx/** rw,
  /usr/sbin/nginx ixr,

上述示例配置了Nginx对日志目录的读取权限、缓存目录的读写权限，以及可执行权限。

## 4.2 日志文件的监控和审计

日志文件是系统安全审计的重要组成部分，对于追踪系统活动、诊断问题以及监控潜在的安全事件至关重要。

### 4.2.1 配置和使用syslog进行日志记录

Syslog是Linux系统中一个标准的守护进程，用于收集和记录各种系统消息。

- **配置文件解析**

默认情况下，Syslog服务的配置文件是`/etc/rsyslog.conf`以及`/etc/rsyslog.d/`目录下的各个文件。在这个配置文件中，可以定义日志的来源、类型、存储位置和格式。

一个简单的配置示例如下：

  *.info;mail.none;authpriv.none;cron.none                /var/log/messages
  authpriv.*                                              /var/log/secure
  mail.*                                                  -/var/log/maillog
  cron.*                                                  /var/log/cron

这里规定了不同类型的消息应该被记录到哪个文件。比如所有级别为info的日志消息记录到`/var/log/messages`，而认证相关的日志则记录到`/var/log/secure`。

### 4.2.2 使用auditd进行系统审计

Auditd是一个内核级别的审计框架，它可以监控系统中的文件、系统调用、系统登录等事件。

- **配置文件解析**

Auditd的配置文件位于`/etc/audit/audit.rules`。在这里可以定义哪些事件需要被审计。

示例规则如下：

  -w /etc/shadow -p wa -k shadow-change
  -w /bin/login -p x -k login-program

这条规则会对`/etc/shadow`文件的写入（`w`）和追加（`a`）操作进行监控，并关联上标签`shadow-change`。同理，第二条规则监控`/bin/login`的执行（`x`）操作。

- **审计日志查看**

使用`ausearch`或`aureport`工具可以搜索和生成审计日志的报告。例如，要搜索与`/bin/login`相关的日志，可以使用以下命令：

  sudo ausearch -i -k login-program

这可以帮助系统管理员了解哪些用户在何时通过什么方式登录了系统。

## 4.3 系统更新与补丁管理

系统更新和补丁管理是确保系统安全的持续性任务。通过更新系统和应用程序，可以修复已知的安全漏洞，提高系统稳定性。

### 4.3.1 理解APT和unattended-upgrades的使用

APT（Advanced Package Tool）是Ubuntu系统上用于安装、删除和管理软件包的工具。unattended-upgrades是一个扩展包，能够自动安装安全更新。

- **APT配置**

默认情况下，APT的相关配置文件位于`/etc/apt/`目录，而系统级的配置文件则是`/etc/apt/apt.conf`。

通过编辑`/etc/apt/apt.conf.d/50unattended-upgrades`，可以配置unattended-upgrades自动安装哪些更新。以下是一个基本的配置示例：

  Unattended-Upgrade::Allowed-Origins {
          "${distro_id}:${distro.codename}";
          "${distro_id}:${distro.codename}-security";
          "${distro_id}ESMApps:${distro codename}-apps-security";
          "${distro_id}ESM:${distro codename}-infra-security";
  };

这里定义了哪些来源的更新包可以被自动安装。对于非安全更新，可以手动执行更新操作。

- **执行更新**

更新系统时，可以使用如下命令：

  sudo apt update        # 更新包索引
  sudo apt upgrade       # 升级所有可升级的包
  sudo apt full-upgrade  # 升级所有包，包括有依赖问题的包

### 4.3.2 自动化安全补丁的部署和管理

unattended-upgrades不仅可以自动安装安全更新，还可以进行基本的补丁管理，如发送电子邮件通知等。

- **配置文件解析**

若要配置unattended-upgrades在安装更新时发送电子邮件，可以编辑`/etc/apt/apt.conf.d/20auto-upgrades`：

 APT::Periodic::Update-Package-Lists "1";
  APT::Periodic::Download-Upgradeable-Packages "1";
  APT::Periodic::AutocleanInterval "7";
  APT::Periodic::Unattended-Upgrade "1";
  Unattended-Upgrade::Origins-Pattern {
    "origin=Debian,archive=stable,label=Debian-Security";
  }
  Unattended-Upgrade::Mail "root";

这些配置项分别设置了更新包列表的周期、下载可升级包的周期、清理旧包的周期、执行未attended升级的开关，以及发送邮件给哪个用户。

- **邮件通知**

更新系统时，如果有任何错误或需要手动干预的情况，unattended-upgrades会发送邮件通知系统管理员。管理员需要检查这些邮件，以确认系统状态，并在必要时手动介入。

在安全加固的旅程中，管理员需要不断评估和调整安全策略以应对新的威胁。通过上述介绍的安全配置文件和系统服务、日志文件的监控和审计、系统更新与补丁管理等策略，系统管理员可以有效地提高Ubuntu系统的安全性，减少系统遭受攻击和数据泄露的风险。

# 5. 实战演练：构建安全的Ubuntu环境

## 5.1 防火墙与端口管理

### 5.1.1 使用UFW进行防火墙配置

Ubuntu防火墙工具UFW（Uncomplicated Firewall）为用户提供了简单的命令行界面来管理防火墙规则。UFW默认是不启用的，启用UFW之前，我们可以先规划好需要开放的服务端口，如下所示：

sudo ufw allow http
sudo ufw allow https
sudo ufw allow ssh

这些命令分别允许HTTP(80端口)、HTTPS(443端口)和SSH(22端口)的流量通过防火墙。在配置好规则后，启用UFW防火墙：

sudo ufw enable

要检查当前防火墙的状态和规则，可以使用：

sudo ufw status

### 5.1.2 管理开放端口和服务

开放和关闭端口是网络安全的关键环节。使用UFW命令行工具，我们也可以关闭不再需要的端口。关闭端口的基本命令如下：

sudo ufw deny http
sudo ufw deny https

上述命令将关闭HTTP和HTTPS端口。如果需要删除已添加的规则，可以使用：

sudo ufw delete allow ssh

这将删除允许SSH连接的规则。管理端口和服务不仅涉及规则的增删，还包括对防火墙日志的监控，以确保没有未授权的访问尝试。

## 5.2 安全优化与自定义

### 5.2.1 系统优化的实践方法

系统优化是确保Ubuntu环境安全和性能的关键步骤。首先，可以调整系统的内核参数，如禁用不必要的服务和模块。这可以通过修改`/etc/sysctl.conf`文件来完成：

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Disable ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

接着，通过`sysctl -p`命令应用这些设置。

### 5.2.2 自定义安全策略和脚本

自定义安全策略可以借助UFW的钩子(hooks)来实现。创建一个钩子脚本`/etc/ufw/hooks.d/local-after.rules`，在规则应用后执行特定命令：

# /etc/ufw/hooks.d/local-after.rules
# This file is part of UFW and is loaded after rules are added to the system.
*filter
:ufw-after-input - [0:0]
:ufw-after-output - [0:0]
:ufw-after-forward - [0:0]
-A ufw-after-input -p tcp --dport 25 -j ACCEPT # Allow SMTP traffic
-A ufw-after-input -p tcp --dport 587 -j ACCEPT # Allow submission port for email
COMMIT

该脚本允许特定的SMTP端口流量通过防火墙，这比UFW的默认设置更灵活。

## 5.3 恢复与备份策略

### 5.3.1 系统恢复的基本操作

当系统出现故障时，能够快速恢复是至关重要的。Ubuntu提供了多种恢复模式，可以启动到不同的运行级别进行故障排除。例如，使用如下命令启动到单用户模式：

sudo systemctl rescue

在恢复模式下，可以访问文件系统，修复系统配置，或者重新配置网络设置等。

### 5.3.2 设计备份方案和策略

备份策略是任何安全计划的重要组成部分。在Ubuntu上，可以使用`rsync`或`tar`等工具进行数据备份。下面是一个使用`rsync`的示例脚本：

#!/bin/bash
BACKUP_PATH="/media/backup"
TARGET_PATH="/etc"
DATE=$(date +%Y%m%d)
/usr/bin/rsync -a --delete --exclude="*/backup*" $TARGET_PATH $BACKUP_PATH/$DATE/

此脚本定期将`/etc`目录同步到备份路径，并排除备份目录本身，保持历史备份的清晰。

通过这种方式，可以确保重要的系统配置和文件不会在灾难性故障中丢失，维护了系统的持续性和可用性。