第十八章：实战八：用户管理与权限控制脚本

在Linux系统中，用户管理与权限控制是系统安全性的基石。掌握这些技能不仅有助于维护系统的稳定运行，还能有效防止未授权访问和数据泄露。本章将结合实战案例，详细介绍如何通过Shell脚本来自动化用户管理任务及设置精细的权限控制策略，从而提升系统管理的效率和安全性。

1. 用户管理基础

1.1 用户与组的概念

• 用户：是Linux系统中识别不同操作主体的基本单位，每个用户都有唯一的用户名和UID（用户标识符）。
• 组：是为了方便用户管理而引入的概念，用户可以被分配到不同的组中，组拥有GID（组标识符）。文件和目录的权限可以基于用户、组和其他用户三类进行设置。

1.2 常用用户管理工具

• useradd：添加新用户。
• usermod：修改用户账户信息。
• userdel：删除用户账户。
• groupadd、groupmod、groupdel：分别用于添加、修改、删除组。
• passwd：设置或修改用户密码。
• id：显示用户的UID、GID以及所属的其他组信息。

2. 编写用户管理脚本

2.1 自动化添加用户

假设我们需要批量添加多个用户，并为他们设置初始密码，可以编写如下Shell脚本：

#!/bin/bash
# 用户列表，格式为"用户名:密码"
USER_LIST="user1:pass1,user2:pass2,user3:pass3"
# 遍历用户列表
for USER_INFO in $USER_LIST; do
    USERNAME=$(echo $USER_INFO | cut -d: -f1)
    PASSWORD=$(echo $USER_INFO | cut -d: -f2)
    # 检查用户是否已存在
    if id "$USERNAME" &>/dev/null; then
        echo "用户$USERNAME已存在."
    else
        # 添加用户并设置密码
        useradd "$USERNAME"
        echo -e "$PASSWORD\n$PASSWORD" | passwd "$USERNAME" >/dev/null 2>&1
        if [ $? -eq 0 ]; then
            echo "用户$USERNAME添加成功，密码已设置."
        else
            echo "用户$USERNAME添加失败或密码设置失败."
        fi
    fi
done

注意：出于安全考虑，直接在脚本中明文存储密码并非最佳实践。实际应用中，可以考虑使用加密方式存储密码或使用其他工具如chpasswd等。

2.2 批量修改用户密码

类似地，可以编写脚本批量修改用户密码，此处不再赘述。

2.3 用户审核与清理

定期审核系统用户，删除不再需要的账户，也是维护系统安全的重要一环。可以编写脚本检查用户的登录记录（如使用last命令），对长时间未登录的用户进行标记或删除。

3. 权限控制脚本

3.1 文件/目录权限管理

• 使用chmod和chown命令修改文件或目录的权限和所有权。
• 编写脚本自动设置特定目录的权限，例如，确保所有Web服务器的根目录仅由Web服务器用户（如www-data）读写。

#!/bin/bash
# 设置Web根目录的权限
WEB_ROOT="/var/www/html"
OWNER="www-data"
GROUP="www-data"
# 修改所有权
chown -R "$OWNER:$GROUP" "$WEB_ROOT"
# 设置权限
chmod -R 750 "$WEB_ROOT"
echo "Web根目录权限已设置为750，所有权已更改为$OWNER:$GROUP"

3.2 使用ACL（访问控制列表）

对于更复杂的权限需求，可以使用ACL来提供更细粒度的访问控制。

• 安装ACL工具（如果尚未安装）。
• 使用setfacl和getfacl命令设置和查看ACL。

#!/bin/bash
# 为特定用户设置对文件的额外权限
FILE="/path/to/file"
USER="extrauser"
# 给予读取权限
setfacl -m u:"$USER":r "$FILE"
echo "用户$USER已被授予对$FILE的读取权限."

3.3 sudo权限管理

通过编辑/etc/sudoers文件或使用visudo命令，可以为特定用户或组分配sudo权限，允许他们执行通常需要超级用户权限的命令。

编写脚本时，应避免直接编辑/etc/sudoers文件，而是使用visudo -f /path/to/custom_sudoers来创建自定义的sudoers文件，并通过包含指令将其合并到主sudoers文件中。

#!/bin/bash
# 示例：创建自定义sudoers文件片段
echo "$USER ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers.d/custom_$USER
# 注意：实际应用中应严格限制权限范围，避免使用NOPASSWD
# 使用visudo检查语法并安装
visudo -cf /etc/sudoers.d/custom_$USER
if [ $? -eq 0 ]; then
    echo "自定义sudo权限已设置成功."
else
    echo "自定义sudo权限设置失败，请检查语法."
    rm /etc/sudoers.d/custom_$USER
fi

4. 安全最佳实践

• 最小权限原则：为用户和进程分配完成其任务所需的最小权限集。
• 定期审计：定期检查系统用户和权限设置，删除不再需要的账户和权限。
• 使用强密码和密钥管理：确保用户密码强度，并考虑使用密钥认证代替密码。
• 日志记录与监控：启用并监控关键的系统日志文件，以便及时发现潜在的安全问题。

5. 总结

通过本章的学习，我们掌握了使用Shell脚本进行用户管理和权限控制的基本方法和技巧。从自动化用户账户的添加、修改、删除，到精细的权限设置，再到sudo权限的管理，每一步都旨在提升系统管理的效率和安全性。记住，良好的用户管理和权限控制策略是系统安全性的重要保障，应始终遵循安全最佳实践，确保系统的稳定运行和数据安全。