Linux 服务器多用户安全管理建议

一、严格的用户权限划分

使用sudo机制替代直接root登录，通过visudo命令配置精细化的权限控制：

 示例：允许开发组仅重启特定服务
%dev-team ALL=(root) /bin/systemctl restart nginx
%dev-team ALL=(root) /bin/systemctl restart mysql

遵循最小权限原则，建议采用三级权限模型：

• 普通用户：基础文件操作权限
• 权限组：按部门/项目划分的sudo权限
• 管理员：仅限必要维护人员

二、强化的认证机制

强制使用SSH密钥认证并禁用密码登录：

 /etc/ssh/sshd_config 关键配置
PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin no

建议配合双因素认证（2FA）工具如Google Authenticator：

 安装PAM模块
sudo apt install libpam-google-authenticator
 用户配置
google-authenticator

三、完善的审计跟踪

启用auditd服务监控关键操作：

 监控/etc目录修改
-a always,exit -F dir=/etc/ -F perm=wa -k etc_changes

配置syslog远程日志服务器，保留至少180天日志。推荐日志分析工具：

• Logwatch：每日摘要报告
• Fail2ban：自动封禁异常IP

四、定期账户维护

使用chage命令设置密码时效：

 强制90天更换密码
sudo chage -M 90 username

实施账户冻结策略：

 检查90天未登录账户
lastlog -b 90 | grep -v "Never logged in"
 锁定非活跃账户
usermod -L username

五、文件系统防护

关键目录设置不可变属性：

sudo chattr +i /etc/passwd
sudo chattr +i /etc/shadow

配置umask 027确保新建文件默认权限为750，敏感数据建议使用encfs加密存储。

六、网络层安全加固

使用firewalld限制访问范围：

 仅允许办公IP访问SSH
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'

定期扫描开放端口：nmap -sT -O localhost

七、安全更新策略

配置自动安全更新：

 Ubuntu配置
sudo dpkg-reconfigure -plow unattended-upgrades

建立更新测试环境，建议更新周期：

• 关键漏洞：24小时内更新
• 常规更新：每周维护窗口

通过以上措施的综合应用，可显著降低多用户环境下的安全风险。建议每月进行安全演练，使用lynis等工具进行合规检查。