Linux 中常见的安全与权限机制
Linux 中常见的安全与权限机制主要包括以下几类,从文件系统权限到系统级访问控制,构建了多层次的安全保障体系。
🔐 一、文件权限与用户管理
1. 基本权限(rwx)
r(read):读取文件内容或目录列表w(write):修改文件内容或目录结构x(execute):执行文件或进入目录
ls -l 文件名
chmod +x 脚本.sh # 添加执行权限
chown 用户:组 文件名 # 修改所属用户/组
2. 权限三类对象
- 用户(User)
- 用户组(Group)
- 其他人(Other)
例:-rwxr-xr--
- 用户:rwx
- 用户组:r-x
- 其他人:r–
3. 权限命令
| 命令 | 说明 |
|---|---|
chmod | 修改权限 |
chown | 修改文件属主属组 |
umask | 设置默认权限掩码 |
ls -l | 查看权限 |
🧑💻 二、用户、用户组管理
useradd / userdel / usermod:添加、删除或修改用户groupadd / groupdel / groupmod:管理用户组passwd:设置用户密码/etc/passwd、/etc/group、/etc/shadow:用户组和加密信息配置文件
🔒 三、特殊权限位(Sticky、SUID、SGID)
| 权限 | 作用 | 示例 |
|---|---|---|
| SUID | 以文件属主身份执行 | /usr/bin/passwd |
| SGID | 以文件属组身份执行或共享组 | 共享开发目录 |
| Sticky | 防止其他用户删除文件 | /tmp 目录 |
示例:
chmod u+s a.out # 设置 SUID
chmod g+s sharedir # 设置 SGID
chmod +t /tmp # 设置 Sticky bit
🧱 四、系统安全机制
1. 防火墙(iptables / firewalld / nftables)
- 控制入站/出站流量
- 管理端口访问权限
2. SELinux(Security Enhanced Linux)
- 提供基于策略的强制访问控制(MAC)
- 控制进程对资源的访问,即使 root 也可能被限制
getenforce # 查看状态
setenforce 0 # 临时关闭
3. AppArmor(Ubuntu 常见)
- 类似 SELinux 的 MAC 机制
- 通过配置文件限制进程权限
🧪 五、sudo 权限控制
通过配置 /etc/sudoers 控制用户是否可执行特权命令(如 root)
sudo visudo # 编辑 sudo 配置
🔍 六、系统登录和认证机制
- SSH Key 登录:推荐使用密钥而非密码登录
- PAM(Pluggable Authentication Modules):可插拔认证模块框架
- fail2ban:防止暴力破解(自动封 IP)
📊 七、日志审计与命令历史
/var/log/secure:安全相关日志(CentOS)/var/log/auth.log:登录认证日志(Ubuntu).bash_history:记录用户命令(可设置审计增强)
📋 八、进程与服务限制
ulimit:限制用户资源使用(内存、进程数)systemd的PrivateTmp、ProtectSystem限制服务访问系统目录cgroups:限制资源(CPU、内存)
总结表格
| 类型 | 机制 | 功能 |
|---|---|---|
| 文件权限 | rwx、chmod、umask | 控制文件访问 |
| 用户管理 | passwd、group、sudo | 控制系统访问 |
| 特殊权限 | SUID、SGID、Sticky | 控制执行行为 |
| 系统安全 | SELinux、AppArmor、iptables | 高级访问控制 |
| 认证机制 | SSH Key、PAM、sudo | 提高认证安全 |
| 审计机制 | 日志、history、fail2ban | 安全追踪与防护 |
| 资源控制 | ulimit、cgroups、systemd | 限制系统滥用 |
相关文章:
Linux 中常见的安全与权限机制
Linux 中常见的安全与权限机制主要包括以下几类,从文件系统权限到系统级访问控制,构建了多层次的安全保障体系。 🔐 一、文件权限与用户管理 1. 基本权限(rwx) r(read):读取文件内…...
Golang|单例模式
单例模式定义:在程序运行期间,某个结构体只创建一个实例。适用场景:如数据库连接池,在整个程序运行期间只需要一个连接池实例。 方案一:通过加锁的方式,如读写锁,确保在并发情况下只创建一个实…...
哈尔滨工业大学计算机系统大作业程序人生-Hello’s P2P
摘 要 文章以C语言程序设计经典案例hello.c为研究对象,系统解析程序在计算机系统中的完整生命周期。剖析源代码通过预处理、编译、汇编、链接四阶段演化为可执行目标程序的编译系统工作机制,继而从进程视角揭示程序运行时计算机体系结构的协同运作&…...
小程序定制开发:从需求到落地,打造企业专属数字化入口
在移动互联网时代,小程序已成为企业连接用户的核心载体。定制开发因能深度匹配企业需求,正成为各行业数字化转型的优选方案。以下从优势、流程、技术、案例四方面展开,助你快速掌握关键要点。 一、定制开发的核心优势 1. 高度个性化&#x…...
【C/C++】基于 Docker 容器运行的 Kafka + C++ 练手项目
文章目录 基于 Docker 容器运行的 Kafka C 练手项目1 项目目的2 项目框架3 代码4 编译运行5 功能与接口说明5.1 Producer 接口:producer.cpp关键调用流程参数说明 5.2 Consumer 接口:consumer.cpp关键调用流程消费流程中注意 5.3 工程技术点 基于 Docke…...
Linux系统管理与编程24:基础条件准备-混搭“本地+阿里云”yum源
兰生幽谷,不为莫服而不芳; 君子行义,不为莫知而止休。 1.添加宿主机共享文件夹 Linux虚拟机可以和宿主机共享文件夹,这样有利于工具文件的共享。具体操作如下: 1)vmware workstation共享文件夹 虚拟机…...
新一代Python管理UV完全使用指南|附实际体验与效果对比
简介 uv是新一代的Python项目管理工具,具备开发一个完整项目的所有功能点: 功能点描述包管理完全替代pip的功能,支持包的安装、升级、卸载等操作虚拟环境管理内置虚拟环境创建和管理,无需额外安装virtualenv或venv依赖解析与锁定…...
如何在 Windows 10 PC 上获取 iPhone短信
您可以轻松地将媒体数据从 iPhone 传输到 Windows 计算机,并直接访问计算机上的数据。但是,您可以在 Windows 10 PC 上接收 iPhone 短信吗?有什么功能或工具支持它吗?如果您发现在 Windows 10 PC 上接收 iPhone 消息很困难&#x…...
STM32程序运行不了,仿真功能也异常,连断点和复位都异常了
先检查有没有出现复位引脚rst短接0的情况 在检查是否出现明明没配置该外设你却偏偏要使用的情况,比如串口没配置你却偏要发送,引脚没配置你却偏要读取 这几个可能最好的办法就是从开头一行一行注释再运行看看能不能跑起来 还可以用以下方法 检查硬…...
Linux 系统中的软链接与硬链接
目录 一、什么是软链接? 1. 创建软链接 2. 软链接的特性 3. 软链接的用途 二、什么是硬链接? 1. 创建硬链接 2. 硬链接的特性 3. 硬链接的用途 4. 目录硬链接的特殊性 编辑 三、软链接与硬链接的区别 1. inode 编号 2. 路径依赖 3. 删除行…...
Python爬虫第22节- 结合Selenium识别滑动验证码实战
目录 一、引言 二、滑动验证码原理与反爬机制 2.1 验证码原理 2.2 反爬机制 三、工程实战:滑动验证码识别全流程 3.1 工程准备 3.1.1 环境依赖 3.1.2 目标网站与验证码识别案例 3.2 核心破解流程 3.2.1 自动化打开网页与登录 3.2.2 获取验证码图片&#…...
【C/C++】chrono简单使用场景
chrono使用场景举例 1 输出格式化字符串 示例代码 auto now std::chrono::system_clock::now(); auto t std::chrono::system_clock::to_time_t(now); auto ms std::chrono::duration_cast<std::chrono::milliseconds>(now.time_since_epoch()) % 1000;std::ostrin…...
Escrcpy(安卓手机投屏软件) v1.29.6 中文绿色版
在数字设备日益普及的今天,用户对于设备的控制和管理需求也在不断增加。对于Android设备用户来说,Escrcpy这款强大的工具无疑是一个福音。它不仅提供了直观的图形化界面,让用户能够轻松显示和控制自己的Android设备,还以完全免费开…...
Oracle MOVE ONLINE 实现原理
Oracle MOVE ONLINE 实现原理 Oracle 的 MOVE ONLINE 操作是一种在线重组表的技术,允许在不中断业务的情况下重新组织表数据。以下是其实现原理的详细分析: 基本概念 MOVE ONLINE 是 Oracle 12c 引入的特性,用于替代传统的 ALTER TABLE ..…...
Linux:深入理解网络层
网络层在复杂的网络环境中确定一个合适的路径.传输到指定的网络中 一、网络层的理解 问题1:为什么要有网络层的概念呢?? ——>我们先来讲一个故事: 假设我在学校里被誉为数学大神,是因为我的数学有考满分的能力&…...
【设计模式】简单工厂模式,工厂模式,抽象工厂模式,单例,代理,go案例区分总结
工厂模式三种类型: 一、简单工厂模式(Simple Factory) 定义: 用一个工厂类,根据传入的参数决定创建哪一种具体产品类实例。 面试说法: 由一个统一的工厂创建所有对象,增加新产品时需要修改工…...
Linux_编辑器Vim基本使用
✨✨ 欢迎大家来到小伞的大讲堂✨✨ 🎈🎈养成好习惯,先赞后看哦~🎈🎈 所属专栏:LInux_st 小伞的主页:xiaosan_blog 制作不易!点个赞吧!!谢谢喵!&a…...
vue展示修改前后对比,并显示修改标注diff
动态父组件 <template><el-buttontype"primary"size"small"plainclick"showDiffDialog(subItem)">查看修改内容</el-button><TextDiffDialogv-model:visible"diffDialogVisible":before"currentDiffItem?.…...
LiveWallpaperMacOS:让你的 Mac 桌面动起来
随着桌面美化需求的不断提升,用户对于桌面壁纸的要求已经不再局限于静态图片。越来越多的 Mac 用户希望桌面能像 Windows 一样,拥有动态壁纸,展现个性、提升体验。LiveWallpaperMacOS 正是这样一款让你的 Mac 桌面焕发活力的开源项目。 本文将详细介绍 LiveWallpaperMacOS …...
[预训练]Encoder-only架构的预训练任务核心机制
原创文章1FFN前馈网络与激活函数技术解析:Transformer模型中的关键模块2Transformer掩码技术全解析:分类、原理与应用场景3【大模型技术】Attention注意力机制详解一4Transformer核心技术解析LCPO方法:精准控制推理长度的新突破5Transformer模…...
07-后端Web实战(部门管理)
5. 修改部门 对于任何业务的修改功能来说,一般都会分为两步进行:查询回显、修改数据。 5.1 查询回显 5.1.1 需求 当我们点击 "编辑" 的时候,需要根据ID查询部门数据,然后用于页面回显展示。 5.1.2 接口描述 参照参照…...
mysql ACID 原理
序言:ACID 是一组数据库设计原则,他是业务数据和关键业务程序的可靠性保障。 1、atomicity(原子性) 依赖如下能力 autocommit commit rollback2、一致性 2.1 double write buffer 1、定义:double write buffer 是…...
[Rust_1] 环境配置 | vs golang | 程序运行 | 包管理
目录 Rust 环境安装 GoLang和Rust 关于Go 关于Rust Rust vs. Go,优缺点 GoLang的优点 GoLang的缺点 Rust的优点 Rust的缺点 数据告诉我们什么? Rust和Go的主要区别 (1) 性能 (2) 并发性 (3) 内存安全性 (4) 开发速度 (5) 开发者体验 Ru…...
二十五、面向对象底层逻辑-SpringMVC九大组件之HandlerMapping接口设计
一、引言:MVC架构的交通枢纽 在Spring MVC框架中,HandlerMapping接口扮演着"请求导航仪"的关键角色,它决定了HTTP请求如何被路由到对应的Controller处理器。作为MVC模式的核心组件之一,HandlerMapping在请求处理的生命…...
构建安全高效的邮件网关ngx_mail_ssl_module
一、快速上手:最小配置示例 worker_processes auto;mail {server {# 监听 IMAP over TLSlisten 993 ssl;protocol imap;# TLS 协议与密码套件ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers HIGH:!aNULL:!MD5;# 证书与私钥ssl_…...
HUAWEI交换机配置镜像口验证(eNSP)
技术术语: 流量观察口:就是我们常说的镜像口,被观察的流量的引流目的端口 流量源端口:企业生产端口,作为观察口观察对象。 命令介绍: [核心交换机]observe-port [观察端口ID或编号(数字&am…...
前端vue3实现图片懒加载
场景和指令用法 场景:电商网站的首页通常会很长,用户不一定能访问到页面靠下面的图片,这类图片通过懒加载优化手段可以做到只有进入视口区域才发送图片请求 核心原理:图片进入视口才发送资源请求 首先:我们需要定义一个全局的指令&#x…...
网站每天几点更新,更新频率是否影响网站收录
1. 每天几点更新网站最合适?总怕时间选错影响收录? 刚开始搞网站的时候,是不是老纠结啥时候更新合适?早上刚上班?半夜没人的时候?选不对时间,总担心搜索引擎爬虫来了没抓到新内容,影…...
主流Markdown编辑器的综合评测与推荐
根据2025年最新资料,结合功能特性、用户体验和技术适配性,以下是对主流Markdown编辑器的综合评测与推荐: 一、核心对比维度与评估方法 功能完整性:支持数学公式、流程图、代码高亮等复杂格式。跨平台兼容性:Windows/m…...
计算机网络-MPLS VPN应用场景与组网
上一篇文章我们通过一个基础实验实现了企业分支间的MPLS VPN互联,如果还不理解的可以多看几遍前面的文章或者多敲下实验。今天来学习几种常见的MPLS VPN应用场景与这些场景下MPLS VPN的部署方法。 一、MPLS VPN典型应用 目前,MPLS VPN的主要应用包括企…...