openSUSE多用户环境管理指南从基础到高级配置权限与资源分配详解

威震华夏关云长

引言

openSUSE作为一个稳定、安全且功能强大的Linux发行版，广泛应用于服务器环境和工作站。在多用户环境中，有效管理用户权限和系统资源是确保系统安全、稳定运行的关键。本文将详细介绍openSUSE系统中多用户环境的管理，从基础的用户和组管理到高级的权限配置和资源分配，帮助系统管理员全面掌握openSUSE多用户环境的管理技能。

openSUSE用户管理基础

用户和组的概念

在Linux系统中，用户是系统资源的访问主体，每个用户都有一个唯一的用户标识符(UID)。组则是用户的集合，用于简化权限管理，每个组也有一个唯一的组标识符(GID)。openSUSE遵循这一标准模型，并提供了丰富的工具来管理用户和组。

在openSUSE中，用户分为三种类型：

1. 超级用户(root)：拥有系统的完全控制权，UID为0
2. 系统用户：用于运行系统服务或拥有系统文件，通常UID小于1000
3. 普通用户：由系统管理员创建的常规用户账户，UID通常从1000开始

组也分为两类：

1. 主组(Primary Group)：每个用户在创建时都会被分配到一个主组
2. 附加组(Supplementary Groups)：用户可以同时属于多个附加组

用户创建和管理

在openSUSE中，可以使用多种工具创建和管理用户，最常用的是命令行工具useradd、usermod和userdel，以及YaST图形管理工具。

创建新用户的基本命令是useradd，例如：

2. # 创建一个名为john的新用户
3. sudo useradd john
5. # 创建用户并指定主目录
6. sudo useradd -m -d /home/john john
8. # 创建用户并指定登录shell
9. sudo useradd -s /bin/bash john
11. # 创建用户并指定UID
12. sudo useradd -u 1500 john
14. # 创建用户并指定主组
15. sudo useradd -g users john
17. # 创建用户并添加到附加组
18. sudo useradd -G developers,admins john

复制代码

创建用户后，需要设置密码：

2. sudo passwd john

复制代码

使用usermod命令可以修改现有用户的属性：

2. # 修改用户登录名
3. sudo usermod -l john_new john
5. # 修改用户主目录
6. sudo usermod -d /home/john_new john_new
8. # 修改用户登录shell
9. sudo usermod -s /bin/zsh john_new
11. # 将用户添加到附加组
12. sudo usermod -a -G sudo john_new
14. # 锁定用户账户
15. sudo usermod -L john_new
17. # 解锁用户账户
18. sudo usermod -U john_new

复制代码

使用userdel命令删除用户：

2. # 仅删除用户账户，保留主目录
3. sudo userdel john
5. # 删除用户账户及其主目录
6. sudo userdel -r john

复制代码

openSUSE提供了YaST(Yet another Setup Tool)图形界面工具，可以方便地管理用户：

1. 启动YaST：在终端输入sudo yast2或在应用程序菜单中找到YaST
2. 选择”Security and Users” > “User and Group Management”
3. 在”Users”选项卡中，可以添加、编辑或删除用户
4. 点击”Add”创建新用户，填写必要信息如用户名、全名、密码等
5. 在”Details”选项卡中，可以设置主目录、登录shell、UID等高级选项

组管理

组管理是用户权限管理的重要组成部分，openSUSE提供了groupadd、groupmod和groupdel命令来管理组。

使用groupadd命令创建新组：

2. # 创建一个名为developers的新组
3. sudo groupadd developers
5. # 创建组并指定GID
6. sudo groupadd -g 2000 developers

复制代码

使用groupmod命令修改现有组：

2. # 修改组名
3. sudo groupmod -n dev_team developers
5. # 修改组GID
6. sudo groupmod -g 2500 dev_team

复制代码

使用groupdel命令删除组：

2. sudo groupdel dev_team

复制代码

使用gpasswd命令管理组成员：

2. # 将用户添加到组
3. sudo gpasswd -a john developers
5. # 从组中移除用户
6. sudo gpasswd -d john developers
8. # 设置组管理员
9. sudo gpasswd -A john developers

复制代码

使用YaST管理组：

1. 启动YaST
2. 选择”Security and Users” > “User and Group Management”
3. 切换到”Groups”选项卡
4. 可以添加、编辑或删除组
5. 编辑组时，可以添加或删除组成员，设置组管理员等

权限管理基础

Linux文件权限系统

Linux系统中的每个文件和目录都有一组权限标志，这些权限决定了哪些用户可以访问、修改或执行文件。openSUSE遵循标准的Linux权限模型。

Linux文件系统中有三种基本权限：

1. 读®：允许查看文件内容或列出目录内容
2. 写(w)：允许修改文件内容或在目录中创建、删除文件
3. 执行(x)：允许执行文件或进入目录

权限可以用两种方式表示：符号表示法和八进制表示法。

符号表示法使用字母表示权限：

• r：读权限
• w：写权限
• x：执行权限
• -：无权限

八进制表示法使用数字表示权限：

• 4：读权限
• 2：写权限
• 1：执行权限
• 0：无权限

权限分为三类：

1. 用户(owner)权限：文件所有者的权限
2. 组(group)权限：文件所属组成员的权限
3. 其他(others)权限：其他所有用户的权限

使用ls -l命令可以查看文件和目录的权限：

2. ls -l /home/john

复制代码

输出示例：

2. drwxr-xr-x 2 john users 4096 Oct 15 10:30 documents
3. -rw-r--r-- 1 john users  615 Oct 16 09:15 notes.txt

复制代码

第一列表示权限：

• 第一个字符表示文件类型：d(目录)、-(普通文件)、l(符号链接)等
• 接下来的9个字符分为三组，每组3个字符，分别表示用户、组和其他用户的权限

使用chmod命令修改文件或目录的权限：

2. # 使用符号表示法修改权限
3. chmod u+x script.sh  # 给文件所有者添加执行权限
4. chmod g-w documents  # 移除组的写权限
5. chmod o=r notes.txt  # 设置其他用户的权限为只读
7. # 使用八进制表示法修改权限
8. chmod 755 script.sh  # 设置权限为rwxr-xr-x
9. chmod 644 notes.txt  # 设置权限为rw-r--r--

复制代码

使用chown命令修改文件或目录的所有者：

2. # 修改文件所有者
3. sudo chown john notes.txt
5. # 修改文件所有者和组
6. sudo chown john:developers notes.txt
8. # 递归修改目录及其内容的所有者
9. sudo chown -R john:developers /home/john/projects

复制代码

使用chgrp命令修改文件或目录的组：

2. # 修改文件组
3. sudo chgrp developers notes.txt
5. # 递归修改目录及其内容的组
6. sudo chgrp -R developers /home/john/projects

复制代码

特殊权限

除了基本的读、写、执行权限外，Linux还提供了三种特殊权限：SUID、SGID和Sticky Bit。

当可执行文件设置了SUID权限后，任何用户执行该文件时，都会以文件所有者的身份运行，而不是以当前用户的身份运行。这对于需要提升权限的实用程序非常有用。

使用chmod命令设置SUID权限：

2. # 使用符号表示法
3. chmod u+s program
5. # 使用八进制表示法(在原有权限前加4)
6. chmod 4755 program

复制代码

设置SUID后，ls -l命令的输出中，用户执行权限位会显示为s或S：

• s表示同时有执行权限
• S表示没有执行权限

当可执行文件设置了SGID权限后，任何用户执行该文件时，都会以文件所属组的身份运行。对于目录，设置SGID权限后，在该目录中创建的文件会继承目录的组，而不是创建者的主组。

使用chmod命令设置SGID权限：

2. # 使用符号表示法
3. chmod g+s program
4. chmod g+s directory
6. # 使用八进制表示法(在原有权限前加2)
7. chmod 2755 program
8. chmod 2775 directory

复制代码

设置SGID后，ls -l命令的输出中，组执行权限位会显示为s或S。

Sticky Bit通常用于目录，设置了Sticky Bit的目录中，只有文件的所有者、目录的所有者或超级用户才能删除或重命名文件，即使其他用户对该目录有写权限。这对于共享目录(如/tmp)非常有用。

使用chmod命令设置Sticky Bit：

2. # 使用符号表示法
3. chmod o+t directory
5. # 使用八进制表示法(在原有权限前加1)
6. chmod 1777 directory

复制代码

设置Sticky Bit后，ls -l命令的输出中，其他用户执行权限位会显示为t或T。

ACL(访问控制列表)

ACL(Access Control List)提供了比传统Linux权限更精细的访问控制机制，允许为特定用户和组设置权限，而不只是所有者、组和其他用户。

首先，需要确认文件系统支持ACL：

2. # 检查文件系统是否启用了ACL
3. mount | grep /dev/sda1

复制代码

如果输出中包含acl选项，则表示文件系统支持ACL。如果没有，可以编辑/etc/fstab文件，添加acl选项：

2. /dev/sda1  /  ext4  defaults,acl  0  1

复制代码

然后重新挂载文件系统：

2. sudo mount -o remount /

复制代码

使用getfacl命令查看文件或目录的ACL：

2. getfacl file.txt

复制代码

输出示例：

2. # file: file.txt
3. # owner: john
4. # group: users
5. user::rw-
6. group::r--
7. other::r--

复制代码

使用setfacl命令设置ACL：

2. # 为特定用户设置权限
3. setfacl -m u:alice:rw file.txt
5. # 为特定组设置权限
6. setfacl -m g:developers:rw file.txt
8. # 为其他用户设置权限
9. setfacl -m o::r file.txt
11. # 递归设置目录及其内容的ACL
12. setfacl -R -m u:alice:rw directory/
14. # 设置默认ACL(适用于目录中新建的文件)
15. setfacl -d -m u:alice:rw directory/

复制代码

使用setfacl命令删除ACL：

2. # 删除特定用户的ACL
3. setfacl -x u:alice file.txt
5. # 删除特定组的ACL
6. setfacl -x g:developers file.txt
8. # 删除所有ACL条目，恢复基本权限
9. setfacl -b file.txt

复制代码

ACL掩码决定了有效权限，即用户和组实际能获得的最大权限。即使为用户或组设置了更宽松的权限，实际权限也不会超过掩码的限制。

查看掩码：

2. getfacl file.txt

复制代码

输出中会包含类似mask::rwx的行。

设置掩码：

2. setfacl -m m::rx file.txt

复制代码

高级权限配置

sudo配置

sudo允许普通用户以超级用户或其他用户的身份执行命令，是权限管理的重要工具。在openSUSE中，sudo的配置文件是/etc/sudoers。

使用visudo命令编辑sudoers文件，这个命令会检查语法错误，防止配置错误导致系统无法使用：

2. sudo visudo

复制代码

sudoers文件的基本语法是：

2. 用户 主机=(以谁的身份) 命令

复制代码

例如：

2. # 允许john用户以root身份执行所有命令
3. john ALL=(ALL) ALL
5. # 允许developers组的成员以root身份执行特定命令
6. %developers ALL=(root) /usr/bin/zypper, /usr/bin/rpm
8. # 允许alice用户以任何身份执行命令，无需密码
9. alice ALL=(ALL) NOPASSWD: ALL
11. # 允许bob用户以root身份执行/usr/bin/systemctl命令，但不能重启系统
12. bob ALL=(root) /usr/bin/systemctl, !/usr/bin/systemctl reboot

复制代码

sudoers文件支持定义别名，简化配置：

2. # 用户别名
3. User_Alias ADMINS = john, alice, bob
5. # 命令别名
6. Cmnd_Alias SOFTWARE = /usr/bin/zypper, /usr/bin/rpm, /usr/bin/snapper
7. Cmnd_Alias SERVICES = /usr/bin/systemctl start, /usr/bin/systemctl stop
9. # 主机别名
10. Host_Alias SERVERS = server1, server2, server3
12. # 使用别名
13. ADMINS SERVERS=(root) SOFTWARE, SERVICES

复制代码

sudo可以记录用户执行的命令，便于审计：

2. # 在sudoers文件中添加
3. Defaults logfile="/var/log/sudo.log"

复制代码

然后可以查看日志：

2. sudo cat /var/log/sudo.log

复制代码

sudoers文件支持多种安全选项：

2. # 要求输入密码
3. Defaults passwd_tries=3
4. Defaults passwd_timeout=5
6. # 限制sudo使用时间
7. Defaults timestamp_timeout=15
9. # 记录命令参数
10. Defaults log_input, log_output
12. # 在安全路径下执行命令
13. Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
15. # 禁止使用sudo执行shell
16. Defaults !use_pty

复制代码

PAM模块

PAM(Pluggable Authentication Modules)是Linux系统中用于身份验证的模块化框架，openSUSE使用PAM来管理用户认证。PAM配置文件位于/etc/pam.d/目录下。

PAM配置文件的每一行代表一个规则，格式为：

2. 类型  控制标志  模块路径  [模块参数]

复制代码

类型包括：

• auth：身份验证
• account：账户管理
• password：密码管理
• session：会话管理

控制标志包括：

• required：必须成功，失败后继续执行后续模块，最终返回失败
• requisite：必须成功，失败后立即返回失败
• sufficient：成功则立即返回成功，失败则继续执行后续模块
• optional：结果不影响最终返回值
• include：包含其他配置文件

1. pam_unix.so：标准的UNIX身份验证模块
2. pam_cracklib.so：密码强度检查
3. pam_limits.so：资源限制
4. pam_env.so：设置环境变量
5. pam_time.so：基于时间的访问控制
6. pam_access.so：基于主机的访问控制

编辑/etc/pam.d/common-password文件，配置密码策略：

2. # 密码长度至少8个字符
3. password requisite pam_cracklib.so minlen=8
5. # 密码包含至少一个大写字母、一个小写字母和一个数字
6. password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1
8. # 密码历史记录，防止重复使用旧密码
9. password sufficient pam_unix.so remember=5 use_authtok
11. # 使用SHA512算法加密密码
12. password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

复制代码

编辑/etc/pam.d/login文件，配置登录限制：

2. # 限制root用户只能从控制台登录
3. auth required pam_securetty.so
5. # 限制同时登录的用户数
6. account required pam_limits.so
8. # 限制登录时间
9. account required pam_time.so
11. # 限制登录主机
12. account required pam_access.so

复制代码

编辑/etc/security/limits.conf文件，配置用户资源限制：

2. # 限制用户进程数
3. john hard nproc 100
5. # 限制用户打开文件数
6. @developers hard nofile 1024
8. # 限制用户CPU时间
9. * hard cpu 10
11. # 限制用户内存使用
12. * hard as 1048576

复制代码

SELinux/AppArmor在openSUSE中的应用

openSUSE主要使用AppArmor作为强制访问控制(MAC)系统，而不是SELinux。AppArmor通过配置文件限制程序可以访问的资源，提供额外的安全层。

AppArmor基于配置文件(profile)工作，每个配置文件定义了程序可以访问的文件、目录、网络端口等资源。AppArmor有两种工作模式：

1. 强制模式(enforce)：严格限制程序访问配置文件未明确允许的资源
2. 抱怨模式(complain)：记录违规行为但不阻止，用于测试和调试

在openSUSE中，AppArmor通常默认安装。可以使用以下命令检查AppArmor状态：

2. # 检查AppArmor服务状态
3. sudo systemctl status apparmor
5. # 检查AppArmor模块是否加载
6. sudo aa-status

复制代码

AppArmor配置文件位于/etc/apparmor.d/目录下，通常以程序路径命名，将/替换为.。

查看配置文件：

2. sudo cat /etc/apparmor.d/usr.bin.ping

复制代码

示例配置文件：

2. #include <tunables/global>
3. /usr/bin/ping {
4.   #include <abstractions/base>
5.   #include <abstractions/consoles>
6.   capability net_raw,
7.   capability setuid,
8.   network inet raw,
9.   /etc/modules.conf r,
10.   /etc/modprobe.* r,
11.   /proc/sys/net/ipv4/ip* r,
12.   /sbin/modprobe ixr,
13.   @{PROC}/@{pid}/net/arp r,
14.   @{PROC}/sys/net/ipv?/icmp* r,
15. }

复制代码

使用aa-genprof工具创建新的AppArmor配置文件：

2. # 创建配置文件
3. sudo aa-genprof /path/to/program
5. # 运行程序并执行各种操作
6. # 然后按S键扫描系统日志
7. # 根据提示选择允许或拒绝访问
8. # 完成后保存配置文件

复制代码

使用aa-logprof工具修改现有配置文件：

2. # 扫描系统日志中的AppArmor事件
3. sudo aa-logprof
5. # 根据提示选择允许或拒绝访问
6. # 保存修改后的配置文件

复制代码

切换配置文件的工作模式：

2. # 将配置文件切换到强制模式
3. sudo aa-enforce /path/to/program
5. # 将配置文件切换到抱怨模式
6. sudo aa-complain /path/to/program
8. # 完全禁用配置文件
9. sudo aa-disable /path/to/program

复制代码

常用的AppArmor命令和工具：

2. # 列出所有加载的配置文件
3. sudo aa-status
5. # 检查配置文件语法
6. sudo apparmor_parser -r /etc/apparmor.d/path.to.profile
8. # 重新加载所有配置文件
9. sudo systemctl reload apparmor
11. # 查看特定进程的AppArmor状态
12. sudo aa-status --json

复制代码

资源分配管理

磁盘配额

磁盘配额允许系统管理员限制用户或组可以使用的磁盘空间，防止单个用户占用过多磁盘空间。

1. 编辑/etc/fstab文件，为文件系统添加usrquota和grpquota选项：

2. /dev/sda1  /home  ext4  defaults,usrquota,grpquota  0  2

复制代码

1. 重新挂载文件系统：

2. sudo mount -o remount /home

复制代码

1. 创建配额数据库：

2. sudo quotacheck -cug /home

复制代码

1. 生成初始配额表：

2. sudo quotacheck -avug

复制代码

1. 启用配额：

2. sudo quotaon -avug

复制代码

使用edquota命令设置用户配额：

2. # 编辑用户配额
3. sudo edquota -u john

复制代码

这将打开一个编辑器，显示类似以下内容：

2. Disk quotas for user john (uid 1001):
3.   Filesystem                   blocks       soft       hard     inodes     soft     hard
4.   /dev/sda1                     1024       5000      10000        100        0        0

复制代码

其中：

• blocks：已使用的块数(1KB为1块)
• soft：软限制(用户可以超过此限制，但仅限于宽限期内)
• hard：硬限制(用户不能超过此限制)
• inodes：已使用的inode数
• soft和 hard：inode的软限制和硬限制

修改后保存退出。

使用edquota命令设置组配额：

2. # 编辑组配额
3. sudo edquota -g developers

复制代码

编辑方式与用户配额相同。

软限制的宽限期默认为7天，可以使用edquota命令修改：

2. # 编辑宽限期
3. sudo edquota -t

复制代码

这将打开一个编辑器，显示类似以下内容：

2. Grace period before enforcing soft limits for users:
3. Time units may be: days, hours, minutes, or seconds
4.   Filesystem             Block grace period     Inode grace period
5.   /dev/sda1                     7days                7days

复制代码

修改后保存退出。

使用quota命令查看用户配额使用情况：

2. # 查看当前用户的配额
3. quota
5. # 查看指定用户的配额
6. sudo quota -u john
8. # 查看组配额
9. sudo quota -g developers
11. # 查看所有用户的配额
12. sudo repquota -a

复制代码

使用repquota命令生成配额报告：

2. # 生成文件系统的配额报告
3. sudo repquota /home
5. # 生成所有文件系统的配额报告
6. sudo repquota -a
8. # 生成详细报告
9. sudo repquota -a -v

复制代码

系统资源限制

系统资源限制允许管理员控制用户可以使用的系统资源，如CPU时间、内存、进程数等。

编辑/etc/security/limits.conf文件，配置资源限制：

2. # 限制用户进程数
3. john hard nproc 100
5. # 限制用户打开文件数
6. @developers hard nofile 1024
8. # 限制用户CPU时间(分钟)
9. * hard cpu 10
11. # 限制用户内存使用(KB)
12. * hard as 1048576
14. # 限制用户登录数
15. @users maxlogins 5

复制代码

对于使用systemd管理的服务，可以通过单元文件配置资源限制：

2. [Service]
3. LimitCPU=10m
4. LimitFSIZE=100M
5. LimitNOFILE=1024
6. LimitNPROC=100

复制代码

cgroups(Control Groups)是Linux内核提供的资源限制和隔离机制。在openSUSE中，可以使用cgroups限制进程组的资源使用。

1. 安装cgroups工具：

2. sudo zypper install libcgroup-tools

复制代码

1. 创建cgroup：

2. # 创建CPU限制组
3. sudo cgcreate -g cpu:/limited_group
5. # 设置CPU份额(1024为默认值)
6. sudo cgset -r cpu.shares=512 limited_group
8. # 设置CPU使用率限制(20%)
9. sudo cgset -r cpu.cfs_quota_us=20000 limited_group
10. sudo cgset -r cpu.cfs_period_us=100000 limited_group

复制代码

1. 将进程添加到cgroup：

2. # 将进程添加到cgroup
3. sudo cgclassify -g cpu:limited_group PID
5. # 在cgroup中启动新进程
6. sudo cgexec -g cpu:limited_group command

复制代码

1. 查看cgroup状态：

2. # 查看cgroup中的进程
3. sudo cgget -g cpu:limited_group
5. # 查看cgroup统计信息
6. sudo cgget -g cpu:limited_group cpu.stat

复制代码

进程优先级管理

进程优先级决定了进程获取CPU资源的优先级，在openSUSE中，可以使用nice值和ionice值管理进程优先级。

nice值范围从-20(最高优先级)到19(最低优先级)，默认值为0。

1. 使用nice命令启动进程：

2. # 以低优先级启动进程
3. nice -n 19 command
5. # 以高优先级启动进程(需要root权限)
6. sudo nice -n -10 command

复制代码

1. 使用renice命令修改运行进程的优先级：

2. # 修改进程的nice值
3. renice -n 10 -p PID
5. # 修改用户所有进程的nice值
6. sudo renice -n 5 -u john
8. # 修改组所有进程的nice值
9. sudo renice -n 5 -g developers

复制代码

ionice值控制进程的I/O优先级，范围从0(最高优先级)到7(最低优先级)。

1. 使用ionice命令启动进程：

2. # 以低I/O优先级启动进程
3. ionice -c 3 command
5. # 以高I/O优先级启动进程(需要root权限)
6. sudo ionice -c 1 -n 0 command

复制代码

1. 修改运行进程的I/O优先级：

2. # 修改进程的I/O优先级
3. ionice -c 3 -p PID

复制代码

使用top、htop或ps命令查看进程优先级：

2. # 使用top查看进程优先级
3. top
5. # 使用htop查看进程优先级
6. htop
8. # 使用ps查看进程优先级
9. ps -l -p PID

复制代码

输出中的NI列表示nice值，PRI列表示优先级。

多用户环境最佳实践

安全考虑

在多用户环境中，安全是首要考虑因素。以下是一些安全最佳实践：

1. 最小权限原则：用户只拥有完成其工作所需的最低权限
2. 定期审核：定期检查用户权限和资源使用情况
3. 密码策略：实施强密码策略，包括密码复杂度、长度和定期更换
4. 账户管理：及时禁用或删除不再需要的用户账户
5. 监控异常活动：监控系统日志，检测异常登录或资源使用情况
6. 使用安全工具：利用AppArmor、防火墙等安全工具增强系统安全性

编辑/etc/login.defs文件，配置密码安全策略：

2. # 密码最小长度
3. PASS_MIN_LEN 8
5. # 密码最大有效期
6. PASS_MAX_DAYS 90
8. # 密码最小有效期
9. PASS_MIN_DAYS 7
11. # 密码过期前警告天数
12. PASS_WARN_AGE 7

复制代码

编辑/etc/ssh/sshd_config文件，增强SSH安全性：

2. # 禁用root登录
3. PermitRootLogin no
5. # 仅允许特定用户登录
6. AllowUsers john alice bob
8. # 使用协议2
9. Protocol 2
11. # 禁用空密码
12. PermitEmptyPasswords no
14. # 设置登录尝试次数
15. MaxAuthTries 3
17. # 使用密钥认证
18. PubkeyAuthentication yes
19. PasswordAuthentication no

复制代码

审计和监控

审计和监控是确保多用户环境安全运行的重要手段。

1. 安装auditd：

2. sudo zypper install auditd

复制代码

1. 启动auditd服务：

2. sudo systemctl start auditd
3. sudo systemctl enable auditd

复制代码

1. 配置审计规则：

编辑/etc/audit/rules.d/audit.rules文件：

2. # 监控文件访问
3. -w /etc/passwd -p wa -k identity
4. -w /etc/shadow -p wa -k identity
5. -w /etc/sudoers -p wa -k privilege
7. # 监控系统调用
8. -a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -k perm_mod
9. -a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -k perm_mod
11. # 监控登录事件
12. -w /var/log/lastlog -p wa -k logins
13. -w /var/log/faillog -p wa -k logins

复制代码

1. 重新加载审计规则：

2. sudo auditctl -R /etc/audit/rules.d/audit.rules

复制代码

1. 查看审计日志：

2. sudo ausearch -k identity
3. sudo ausearch -k perm_mod
4. sudo ausearch -k logins

复制代码

1. 配置rsyslog：

编辑/etc/rsyslog.conf文件：

2. # 将认证日志保存到单独文件
3. authpriv.* /var/log/auth.log
5. # 将系统错误日志保存到单独文件
6. *.err /var/log/errors.log
8. # 将所有日志发送到远程日志服务器
9. *.* @logserver.example.com:514

复制代码

1. 重启rsyslog服务：

2. sudo systemctl restart rsyslog

复制代码

1. 配置logrotate：

编辑/etc/logrotate.conf文件或创建新的配置文件在/etc/logrotate.d/目录下：

2. /var/log/auth.log {
3.     weekly
4.     rotate 4
5.     compress
6.     delaycompress
7.     missingok
8.     notifempty
9.     create 640 root adm
10. }
12. /var/log/errors.log {
13.     daily
14.     rotate 7
15.     compress
16.     delaycompress
17.     missingok
18.     notifempty
19.     create 640 root adm
20. }

复制代码

1. 测试logrotate配置：

2. sudo logrotate -d /etc/logrotate.conf

复制代码

故障排除

在多用户环境中，可能会遇到各种问题，以下是一些常见问题的解决方法：

1. 检查用户账户状态：

2. sudo passwd -S john

复制代码

1. 检查用户密码是否过期：

2. sudo chage -l john

复制代码

1. 检查用户shell是否存在：

2. grep john /etc/passwd

复制代码

1. 检查磁盘空间是否已满：

2. df -h

复制代码

1. 检查用户主目录权限：

2. ls -ld /home/john

复制代码

1. 检查文件权限：

2. ls -l file.txt

复制代码

1. 检查ACL：

2. getfacl file.txt

复制代码

1. 检查AppArmor状态：

2. sudo aa-status
3. sudo dmesg | grep DENIED

复制代码

1. 检查SELinux状态(如果启用)：

2. sestatus

复制代码

1. 检查用户配额：

2. sudo quota -u john

复制代码

1. 检查进程资源使用：

2. top -u john

复制代码

1. 检查系统资源限制：

2. ulimit -a

复制代码

1. 检查cgroup限制：

2. sudo cgget -g cpu:limited_group

复制代码

总结

openSUSE多用户环境管理是一个复杂但重要的任务，涉及用户管理、权限配置和资源分配等多个方面。通过本文的介绍，我们了解了从基础的用户和组管理到高级的权限配置和资源分配技术。

有效的多用户环境管理需要系统管理员深入理解Linux权限模型、熟悉openSUSE提供的各种管理工具，并遵循安全最佳实践。通过合理配置用户权限、实施资源限制、加强安全审计，可以确保多用户环境的稳定、安全和高效运行。

希望本文能为openSUSE系统管理员提供全面的指导，帮助他们更好地管理多用户环境，提升系统的安全性和可用性。

版权声明

1、转载或引用本网站内容(openSUSE多用户环境管理指南从基础到高级配置权限与资源分配详解)须注明原网址及作者(威震华夏关云长)，并标明本网站网址(https://pixtech.cc/)。

2、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

3、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://pixtech.cc/thread-39419-1-1.html