用户、权限与 sudo
一台服务器上最常见的安全问题,不是黑客先来,而是你自己把权限给太大。
权限模型
graph LR
A[User] --> B[Owner]
A --> C[Group]
A --> D[Other]
B --> E[rwx]
C --> E
D --> E
最常用命令
whoami
id
ls -lah
chmod 640 .env
chown -R app:app /opt/myapp
sudo -u app bash
权限该怎么分
| 对象 | 建议权限 |
|---|---|
| 运维用户 | sudo,但不用 root 直登 |
| 应用进程用户 | 只拥有应用目录 |
| 配置文件 | 最小可读权限 |
| 密钥文件 | 仅拥有者可读 |
常见误区
- 直接
chmod -R 777 - 所有服务都用同一个用户跑
.env对所有用户可读
本节执行清单
- [ ] 为应用创建单独用户
- [ ] 检查敏感文件权限
- [ ] 确认服务不依赖 root 运行
下一节:进程与 systemd 服务管理——让服务真正可控地启动和重启。