企业官网建设流程全解析

保险网站建设的目标,ps如何做网站超级链接,手机端网站设计尺寸,dw如何用表格做网站Linux系统管理指南 目录 用户管理用户权限管理组管理系统管控安全最佳实践 用户管理 在 Linux 系统中创建一个新用户并确保其拥有独立的 /home 目录和运行环境是一个非常标准的操作。 通常有两种主要方法#xff1a;使用友好的 adduser 命令#xff08;推荐#xff09;或…Linux系统管理指南目录用户管理用户权限管理组管理系统管控安全最佳实践用户管理在 Linux 系统中创建一个新用户并确保其拥有独立的/home目录和运行环境是一个非常标准的操作。通常有两种主要方法使用友好的adduser命令推荐或底层的useradd命令。方法一使用adduser命令最简单推荐在 Ubuntu、Debian 等系统上adduser是一个交互式脚本会自动为你创建家目录、设置 Shell 并引导你设置密码。执行创建命令Bashsudo adduser username将username替换为你想要的名字按照提示操作系统会要求你输入并确认密码。会询问一些用户信息全名、房间号等这些可以按Enter跳过。最后输入Y确认信息正确。优点自动创建/home/username目录并从/etc/skel复制默认配置文件如.bashrc确保环境独立且立即可用。方法二使用useradd命令通用更底层如果你使用的是 CentOS、RHEL 或习惯使用底层工具可以使用useradd。注意默认情况下它可能不会创建家目录所以需要带上参数。执行创建命令Bashsudo useradd -m -s /bin/bash username-m强制创建用户的家目录/home/username。-s /bin/bash指定用户的默认 Shell通常选 bash。设置密码Bashsudo passwd username输入两次密码即可。确保“独立性”与安全性虽然新用户已经有了独立的目录但为了确保该账号与其他账号完全隔离即其他普通用户无法进入该目录你可以调整权限1. 限制目录访问权限默认情况下有些系统的/home目录权限允许其他用户读取。如果你想让该账号完全独立私有可以执行Bashsudo chmod 700 /home/username这样除了该用户本人和 root任何人都无法进入或查看该目录下的文件。2. 赋予 sudo 权限可选如果你希望这个独立账号也能执行管理任务可以将其加入 sudo 组Ubuntu/Debian:sudo usermod -aG sudo usernameCentOS/RHEL:sudo usermod -aG wheel username验证新用户你可以尝试切换到新用户来测试环境是否配置成功Bashsu - username输入密码后使用pwd查看是否在/home/username目录下使用ls -a查看是否有独立的配置文件如.profile。您是想为这个账号配置特定的软件运行环境如独立的 Python 或 Node.js 环境还是只需要基础的系统账号隔离1. 创建新用户基本创建用户# 创建新用户sudouseraddusername# 创建用户并自动创建家目录sudouseradd-m username# 创建用户并指定家目录sudouseradd-m -d /home/customdir username# 创建用户并指定shellsudouseradd-m -s /bin/bash username# 创建用户并添加注释sudouseradd-m -cUser Full Nameusername创建用户并设置密码# 创建用户后设置密码sudopasswdusername# 一次性创建用户并设置密码sudouseradd-m usernamesudopasswdusername创建系统用户用于运行服务# 创建无登录权限的系统用户sudouseradd-r -s /usr/sbin/nologin servicename2. 删除用户# 仅删除用户账号sudouserdelusername# 删除用户及其家目录sudouserdel-r username# 强制删除即使用户已登录sudouserdel-f username3. 修改用户信息# 修改用户名sudousermod-l newname oldname# 修改用户家目录sudousermod-d /new/home/path -m username# 修改用户shellsudousermod-s /bin/zsh username# 锁定用户账号sudousermod-L username# 解锁用户账号sudousermod-U username# 修改用户UIDsudousermod-u1500username# 设置账号过期时间sudousermod-e2024-12-31 username4. 查看用户信息# 查看当前登录用户whoami# 查看所有用户cat/etc/passwd# 查看用户详细信息idusername# 查看用户所属组groupsusername# 查看最近登录用户last# 查看当前登录的所有用户whow# 查看用户密码信息sudochage -l username用户权限管理1. 文件和目录权限权限表示方式rwx rwx rwx │ │ │ │ │ └─── 其他用户权限 │ └─────── 组权限 └─────────── 所有者权限 r 读权限 (4) w 写权限 (2) x 执行权限 (1)修改文件权限# 使用符号模式chmodux file.sh# 给所有者添加执行权限chmodg-w file.txt# 移除组的写权限chmodor file.txt# 设置其他用户只有读权限chmodar file.txt# 给所有用户添加读权限# 使用数字模式chmod755file.sh# rwxr-xr-xchmod644file.txt# rw-r--r--chmod600private.key# rw-------chmod777public.txt# rwxrwxrwx不推荐# 递归修改目录权限chmod-R755/path/to/directory修改文件所有者# 修改文件所有者sudochownusername file.txt# 修改文件所有者和组sudochownusername:groupname file.txt# 递归修改目录所有者sudochown-R username:groupname /path/to/directory# 仅修改组sudochgrpgroupname file.txt2. sudo权限管理添加用户到sudo组# Ubuntu/Debian系统sudousermod-aGsudousername# CentOS/RHEL系统sudousermod-aG wheel username# 验证sudo权限sudo-l -U username编辑sudoers文件# 使用visudo安全编辑sudoers推荐sudovisudosudoers配置示例# 给用户完全sudo权限usernameALL(ALL:ALL)ALL# 给用户无需密码的sudo权限usernameALL(ALL)NOPASSWD: ALL# 限制用户只能执行特定命令usernameALL(ALL)/usr/bin/apt, /usr/bin/systemctl# 给组sudo权限%groupnameALL(ALL:ALL)ALL# 允许用户以特定用户身份运行命令usernameALL(root)/usr/bin/service3. 特殊权限# SUID (Set User ID) - 以文件所有者身份执行chmodusfilechmod4755file# SGID (Set Group ID) - 以文件所属组身份执行chmodgsfilechmod2755file# Sticky Bit - 只有所有者可以删除文件常用于/tmpchmodt directorychmod1777directory组管理1. 创建和删除组# 创建新组sudogroupaddgroupname# 创建指定GID的组sudogroupadd-g1500groupname# 删除组sudogroupdelgroupname2. 管理组成员# 添加用户到组sudousermod-aG groupname username# 添加用户到多个组sudousermod-aG group1,group2,group3 username# 设置用户的主组sudousermod-g primarygroup username# 从组中移除用户需要重新设置用户的组列表sudogpasswd -d username groupname# 查看组成员getent group groupname3. 查看组信息# 查看所有组cat/etc/group# 查看当前用户所属组groups# 查看指定用户所属组groupsusername# 查看组详细信息getent group groupname系统管控1. 进程管理# 查看进程psaux# 查看所有进程ps-ef# 查看所有进程另一种格式pstree# 树状显示进程top# 实时查看进程htop# 增强版top需安装# 查找特定进程psaux|grepprocessname pgrep processname# 终止进程killPID# 正常终止kill-9 PID# 强制终止killallprocessname# 终止所有同名进程pkillprocessname# 通过名称终止进程# 后台运行进程command# 后台运行nohupcommand# 后台运行且不受终端关闭影响# 查看后台任务jobsfg%1# 将后台任务调到前台bg%1# 继续运行后台任务2. 服务管理systemd# 启动服务sudosystemctl start servicename# 停止服务sudosystemctl stop servicename# 重启服务sudosystemctl restart servicename# 重新加载配置sudosystemctl reload servicename# 查看服务状态sudosystemctl status servicename# 开机自启sudosystemctlenableservicename# 禁用开机自启sudosystemctl disable servicename# 查看所有服务systemctl list-units --typeservice# 查看启动失败的服务systemctl --failed3. 系统监控# CPU和内存监控top# 实时监控htop# 增强版监控vmstat1# 每秒更新系统状态# 内存使用free-h# 查看内存使用cat/proc/meminfo# 详细内存信息# 磁盘使用df-h# 查看磁盘空间du-sh /path# 查看目录大小du-h --max-depth1# 查看当前目录各子目录大小# 网络监控netstat-tuln# 查看监听端口ss -tuln# 现代版netstatiftop# 实时网络流量需安装nethogs# 按进程显示网络使用需安装# 系统负载uptime# 系统运行时间和负载w# 查看登录用户和负载4. 日志管理# 查看系统日志sudojournalctl# 查看所有日志sudojournalctl -f# 实时查看日志sudojournalctl -u servicename# 查看特定服务日志sudojournalctl --since2024-01-01# 查看指定日期后的日志sudojournalctl --since today# 查看今天的日志# 传统日志文件tail-f /var/log/syslog# 实时查看系统日志tail-f /var/log/auth.log# 实时查看认证日志less/var/log/messages# 查看消息日志# 清理日志sudojournalctl --vacuum-time7d# 清理7天前的日志sudojournalctl --vacuum-size1G# 保留最多1G日志5. 防火墙管理UFWUbuntu/Debian# 启用防火墙sudoufwenable# 禁用防火墙sudoufw disable# 查看状态sudoufw status verbose# 允许端口sudoufw allow22/tcpsudoufw allow80/tcpsudoufw allow443/tcp# 拒绝端口sudoufw deny23/tcp# 允许特定IP访问sudoufw allow from192.168.1.100# 删除规则sudoufw delete allow80/tcp# 重置防火墙sudoufw resetfirewalldCentOS/RHEL# 启动防火墙sudosystemctl start firewalld# 查看状态sudofirewall-cmd --state# 允许服务sudofirewall-cmd --permanent --add-servicehttpsudofirewall-cmd --permanent --add-servicehttps# 允许端口sudofirewall-cmd --permanent --add-port8080/tcp# 重新加载配置sudofirewall-cmd --reload# 查看规则sudofirewall-cmd --list-all6. 定时任务Cron# 编辑当前用户的crontabcrontab-e# 查看当前用户的crontabcrontab-l# 删除当前用户的crontabcrontab-r# 编辑其他用户的crontab需要root权限sudocrontab-u username -eCrontab格式# 分 时 日 月 周 命令 # * * * * * command # 示例 0 2 * * * /path/to/backup.sh # 每天凌晨2点执行 */5 * * * * /path/to/script.sh # 每5分钟执行 0 0 * * 0 /path/to/weekly.sh # 每周日午夜执行 0 9-17 * * 1-5 /path/to/work.sh # 工作日9点到17点每小时执行7. 系统更新和维护Ubuntu/Debian# 更新软件包列表sudoaptupdate# 升级已安装的软件包sudoaptupgrade# 升级系统包括内核sudoaptfull-upgrade# 自动清理不需要的包sudoaptautoremove# 清理下载的软件包缓存sudoaptcleanCentOS/RHEL# 更新软件包sudoyum update# 或使用dnf新版本sudodnf update# 清理缓存sudoyum clean all8. 系统资源限制# 查看当前限制ulimit-a# 设置最大打开文件数ulimit-n4096# 编辑系统限制文件sudovim/etc/security/limits.conf# 限制配置示例# username soft nofile 4096# username hard nofile 8192# username soft nproc 2048# username hard nproc 4096安全最佳实践1. 用户安全# 强制用户下次登录时更改密码sudopasswd-e username# 设置密码策略sudovim/etc/login.defs# 设置密码最小长度在/etc/security/pwquality.confsudovim/etc/security/pwquality.conf# minlen 12# dcredit -1 # 至少一个数字# ucredit -1 # 至少一个大写字母# lcredit -1 # 至少一个小写字母# ocredit -1 # 至少一个特殊字符# 禁止root直接SSH登录sudovim/etc/ssh/sshd_config# PermitRootLogin nosudosystemctl restart sshd2. SSH安全# 修改SSH配置sudovim/etc/ssh/sshd_config# 推荐配置# Port 2222 # 修改默认端口# PermitRootLogin no # 禁止root登录# PasswordAuthentication no # 禁用密码登录使用密钥# PubkeyAuthentication yes # 启用密钥认证# MaxAuthTries 3 # 最大认证尝试次数# ClientAliveInterval 300 # 客户端保活间隔# ClientAliveCountMax 2 # 最大保活次数# 重启SSH服务sudosystemctl restart sshd# 设置SSH密钥认证ssh-keygen -t rsa -b4096ssh-copy-id -i ~/.ssh/id_rsa.pub usernameserver3. 系统审计# 安装auditdsudoaptinstallauditd# Ubuntu/Debiansudoyuminstallaudit# CentOS/RHEL# 启动审计服务sudosystemctl start auditdsudosystemctlenableauditd# 查看审计日志sudoausearch -m USER_LOGINsudoausearch -ua username4. 常用安全检查# 检查是否有空密码账户sudoawk-F:($2 ) {print $1}/etc/shadow# 查看最近登录失败的记录sudolastb# 检查可疑进程psaux|grep-Ebash|sh|python|perl# 检查监听端口sudonetstat-tulpn# 检查计划任务sudocrontab-l -u rootls-la /etc/cron.*5. 备份重要文件# 备份用户信息sudocp/etc/passwd /etc/passwd.baksudocp/etc/shadow /etc/shadow.baksudocp/etc/group /etc/group.bak# 备份sudo配置sudocp/etc/sudoers /etc/sudoers.bak# 创建系统备份脚本#!/bin/bashBACKUP_DIR/backup/systemDATE$(date%Y%m%d)tar-czf$BACKUP_DIR/etc-$DATE.tar.gz /etctar-czf$BACKUP_DIR/home-$DATE.tar.gz /home快速参考常用命令速查功能命令创建用户sudo useradd -m username设置密码sudo passwd username删除用户sudo userdel -r username添加sudo权限sudo usermod -aG sudo username修改文件权限chmod 755 file修改文件所有者sudo chown user:group file查看进程ps aux或top启动服务sudo systemctl start service查看日志sudo journalctl -f查看磁盘df -h查看内存free -h查看端口sudo netstat -tulpn注意事项使用sudo谨慎操作所有系统级别的操作都需要root权限请确保理解命令的作用备份重要数据在进行重大系统更改前请先备份重要配置文件测试环境建议先在测试环境验证命令再在生产环境执行日志记录重要操作建议记录日志便于问题追溯权限最小化遵循最小权限原则不要随意给予过高权限定期更新保持系统和软件包及时更新修补安全漏洞密码策略使用强密码定期更换不要重复使用监控审计定期检查系统日志和用户活动