29 安全管理与防护之安全策略与用户权限

在上一篇中，我们讨论了基本的网络安全措施，包括防火墙和SELinux的配置与管理。这些工具构成了Linux系统的第一道防线，而接下来，我们将深入探讨如何通过安全策略和用户权限管理来进一步保障系统的安全。

安全策略的制定

一个良好的安全策略是确保系统安全的基石。安全策略应包括对系统资源的保护、用户行为的规范以及应急处理流程。通常情况下，安全策略包括以下几个组成部分：

1. 权限管理：谁可以访问系统，访问哪些资源。
2. 审计与监控：如何记录操作行为及其后果。
3. 密码管理：密码的复杂性、更新频率及存储方式。

案例：公司内部安全策略

假设一家公司的安全政策要求所有员工在使用公司Linux服务器时，遵循以下几点：

• 每个用户必须有唯一的用户名和密码，且密码必须至少包含8个字符，并包含大小写字母、数字和特殊字符。
• 用户权限分为三类：普通用户、管理员用户和访客用户。普通用户只能访问其个人目录，管理员用户有权访问所有系统资源，访客用户仅能读取公共信息。
• 具有管理员权限的用户必须定期更改密码，每三个月更换一次。

用户权限管理

在Linux中，用户权限由用户、组和其他用户三种身份构成。理解如何管理这些权限对于保护系统安全至关重要。

文件与目录的权限

在Linux中，每个文件和目录都有与之关联的权限设置。通过命令 ls -l 可以查看文件的权限。

权限结构如下：

• r 表示可读权限
• w 表示可写权限
• x 表示可执行权限

例如，执行如下命令可以查看某个文件的权限：

ls -l /path/to/your/file

输出示例：

-rwxr-xr-- 1 user group  2048 Sep  1 12:00 file.txt

在上面的例子中：

• - 表示这是一个文件（d表示目录）。
• rwx 表示文件所有者（用户）具有读、写、执行权限。
• r-x 表示与用户同组的其他用户具有读、执行权限。
• r-- 表示其他用户只具有读权限。

修改文件权限

使用 chmod 命令可以改变文件和目录的权限。权限可以通过数字模式或符号模式来设置。

数字模式

在数字模式中，权限是由数字表示的：

• 4 代表读（r）
• 2 代表写（w）
• 1 代表执行（x）

例如，命令：

chmod 755 /path/to/your/file

会将文件的权限设置为：

• 所有者拥有读、写、执行的权限（7 = 4+2+1）
• 同组用户和其他用户只拥有读和执行权限（5 = 4+1）

符号模式

通过符号模式，我们可以更灵活地操作权限。例如，可以使用：

chmod g+w /path/to/your/file

上面的命令为与文件同组的用户添加写权限。

用户与组管理

用户和组管理是权限设置的另一重要方面。用户组可以使多个用户共享相同的权限。

使用 useradd 和 groupadd 命令来创建用户和组。例如：

# 创建一个新用户
useradd john
# 创建一个新组
groupadd developers

接着，将用户 john 添加到 developers 组：

usermod -aG developers john

审计与监控

安全的一个关键要素是能够监控和审计用户的行为。Linux系统提供了多种审计工具，其中最常用的是 auditd，用于记录和监控系统的访问行为和事件。

设置审计

要启用审计服务，可以执行以下命令：

sudo systemctl start auditd
sudo systemctl enable auditd

可以通过编辑 /etc/audit/audit.rules 文件来设置审计规则，例如：

-w /etc/passwd -p wa -k passwd_changes

上述规则将监视 /etc/passwd 文件的任何更改并标记为 passwd_changes 事件。

查看审计日志

使用以下命令来查看审计日志：

ausearch -k passwd_changes

总结来说，通过有效的安全策略与用户权限管理，结合监控与审计手段，可以显著增强Linux系统的安全性。在下一篇中，我们将讨论如何进行安全更新与补丁管理，以确保系统始终处于最佳安全状态。