Linux 用户、组和权限管理及 KDE 桌面环境使用指南
1. 用户可写目录及设备文件
在 Linux 系统中,根据计算机的用途,部分目录可被用户写入。例如,安装 Samba 文件服务器时,可写共享需要一个对映射的 Linux 用户也可写的目录。同时,一些设备文件(如声卡的设备文件)也可能对用户可写,因为应用程序需要向相应设备发送数据。
2. 用户读取权限的基本规则
系统中的部分文件应防止用户读取,尤其是存储密码的文件。即便文件中的密码已加密,也必须防止未经授权的访问。以下是 Linux 系统中包含密码的部分文件:
| 文件路径 | 说明 | 默认权限 |
| ---- | ---- | ---- |
| /etc/shadow | 包含加密形式的用户密码,即使使用 LDAP 进行用户认证,该文件至少包含 root 密码 | - |
| /etc/samba/smbpasswd | 包含 Samba 用户的密码 | 600 |
| 含 Apache 密码的文件 | 位置取决于配置,包含对 Web 服务器授权访问的密码 | - |
| /etc/openldap/slapd.conf | 包含 openLDAP 服务器的 root 密码 | 安装 openldap2 包后为 644 |
| /boot/grub/menu.lst | 可能包含 GRUB 引导加载器的密码 | 600 |
部分密码文件可能对非 root 账户可读,通常是服务守护进程运行的用户账户。例如,Apache Web 服务器以用户 wwwrun 的身份运行,因此密码文件必须对该用户可读,且要确保只有该守护进程账户能读取文件。 <
