腾讯云Ubuntu系统管理员权限设置避坑指南:手把手教你玩转root权限
(开篇场景)
凌晨两点,刚入职的运维新人小李盯着黑乎乎的终端界面抓耳挠腮——公司新买的腾讯云服务器 *** 活装不上数据库,每次敲命令都提示"Permission denied"。这场景是不是像极了你第一次接触Linux系统时的模样?别慌,今天咱们就用真实运维场景拆解管理员权限的那些门道。
场景一:首次登录发现"ubuntu用户"权限不够怎么办?
(痛点还原)
当你通过腾讯云控制台一键登录,发现默认用户是ubuntu而不是root时,就像拿到了保险箱钥匙却不知道密码。这时候两步操作能救急:
- 给root用户配把新钥匙
终端输入sudo passwd root,连续输入两次密码(注意:输入时不会显示*号),这个操作相当于给root账户设置登录密码 - 打开权限防盗门
用vim修改配置文件:sudo vi /etc/ssh/sshd_config,找到#PermitRootLogin prohibit-password这行,改成PermitRootLogin yes,保存退出后记得sudo service ssh restart重启服务
https://via.placeholder.com/600x400?text=%E4%BF%AE%E6%94%B9PermitRootLogin%E5%8F%82%E6%95%B0
场景二:需要装软件但不想切root用户?
(进阶技巧)
临时借权限才是 *** 的做法。在普通用户前加sudo,就像找门卫大爷借门禁卡:
bash复制# 安装nginx的正确姿势sudo apt update && sudo apt install nginx -y
但有时候会碰到"用户不在sudoers文件中"的报错,这时候要:
- 切换到root账户
su - root - 运行
visudo命令,在文件末尾添加普通用户名 ALL=(ALL:ALL) ALL - 按Ctrl+X保存退出,现在你就有临时特权了
场景三:团队协作时怎么分配权限最安全?
(企业级方案)
当项目组有前端、后端、DBA多个角色时,权限分配就像分 *** :
- 创建特定角色组
sudo groupadd devops创建运维组 - 批量授权文件夹
sudo chown -R :devops /var/www把网站目录权限分配给组员 - 精细化控制
在/etc/sudoers里配置%devops ALL=/usr/bin/apt update, /usr/sbin/nginx,限制组员只能更新软件和重启nginx
场景四:怎么防止实习生误删系统文件?
(安全防护)
给root账户加把智能锁才稳妥:
- 定时权限回收:
sudo chage -M 7 root强制7天修改root密码 - 操作记录留痕:安装auditd工具,记录所有sudo操作
sudo auditctl -w /usr/bin/sudo -p x -k sudo_log - 应急熔断机制:配置
/etc/sysrq.conf启用Magic SysRq,系统异常时Alt+SysRq+reisub组合键安全重启
(踩坑预警)
上个月某公司就因为直接开放root远程登录,被黑客暴力破解后植入挖矿程序。记住这三个保命原则:
- 日常操作能用sudo就别切root
- 禁用默认ubuntu账户前先确认其他账户可用
- 重要服务别用默认22端口,改成5位以上非常用端口
(个人观点)
搞了十年运维,见过太多因为权限管理翻车的案例。其实权限设置就像给不同人发不同门禁卡——项目经理拿总控卡,开发拿楼层卡,实习生拿会议室临时卡。下次当你准备怒敲sudo时,不妨先想想:这个操作真的需要动用"尚方宝剑"吗?毕竟,最好的安全策略永远是"最小必要权限+操作留痕"。
(全文完)