FreeBSD 12.1用户权限管理及sudo安全配置教程

# 创建用户
pw useradd username

# 设置密码
passwd username

# 创建用户组
groupadd developers

# 将用户加入组
usermod -aG developers username

# 查看用户所属组
groups username

# 列出所有用户
cat /etc/passwd | cut -d: -f1

# 将用户加入sudo组
usermod -aG wheel username

# 验证sudo权限
sudo whoami  # 应输出 root

# 使用visudo编辑sudoers文件（语法校验）
visudo

# 允许用户仅执行特定命令
username ALL=(ALL) /usr/bin/systemctl, /usr/bin/journalctl

# 允许组执行特定命令，无需密码
%developers ALL=(ALL) NOPASSWD: /usr/bin/git, /usr/bin/docker

# 限制危险命令
username ALL=(ALL) !/usr/bin/su, !/usr/bin/passwd root

# 修改文件所有者
chown user:group filename

# 设置权限（rwx）
chmod 750 filename     # 所有者读写执行，组读执行，其他无权限
chmod 600 filename     # 所有者读写，其他无权限（适用于密钥文件）
chmod 755 /dir         # 目录标准权限

# 查看最近登录用户
last
lastlog

# 查看当前登录用户
who
w

# 查看用户的sudo使用记录
cat /var/log/secure | grep sudo
journalctl -u sudo.service

# 检查空密码用户
awk -F: '($2 == "") {print $1}' /etc/shadow

# 检查UID为0的非root用户
awk -F: '($3 == 0) {print $1}' /etc/passwd

# 查看文件ACL
getfacl filename

# 设置ACL
setfacl -m u:username:rwx filename    # 给用户设置权限
setfacl -m g:groupname:rx filename     # 给组设置权限
setfacl -m o::- filename               # 移除其他用户权限

# 递归设置目录ACL
setfacl -R -m u:www-data:rx /var/www/html
setfacl -R -d -m u:www-data:rx /var/www/html  # 默认ACL

# 备份和恢复ACL
getfacl -R /important/dir > acl_backup.txt
setfacl --restore=acl_backup.txt

# /etc/pam.d/ 目录下的PAM配置文件
# 密码强度策略
# /etc/pam.d/common-password（Ubuntu）或
# /etc/pam.d/passwd（CentOS）

# 密码复杂度要求
password requisite pam_pwquality.so retry=3     minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1

# 登录失败锁定
# /etc/pam.d/sshd 添加
auth required pam_tally2.so deny=5 unlock_time=900 onerr=fail

#!/bin/bash
# 每周权限审计脚本
echo "=== SUID文件检查 ==="
find / -perm -4000 -type f 2>/dev/null

echo "=== SGID文件检查 ==="
find / -perm -2000 -type f 2>/dev/null

echo "=== 全局可写文件 ==="
find / -perm -0002 -type f 2>/dev/null | grep -v /proc | grep -v /sys

echo "=== 无主文件 ==="
find / -nouser -o -nogroup 2>/dev/null | grep -v /proc