15、Linux 用户、组和权限管理及 KDE 桌面环境使用指南

Linux 用户、组和权限管理及 KDE 桌面环境使用指南

1. 用户可写目录及设备文件

在 Linux 系统中，根据计算机的用途，部分目录可被用户写入。例如，安装 Samba 文件服务器时，可写共享需要一个对映射的 Linux 用户也可写的目录。同时，一些设备文件（如声卡的设备文件）也可能对用户可写，因为应用程序需要向相应设备发送数据。

2. 用户读取权限的基本规则

系统中的部分文件应防止用户读取，尤其是存储密码的文件。即便文件中的密码已加密，也必须防止未经授权的访问。以下是 Linux 系统中包含密码的部分文件：
| 文件路径 | 说明 | 默认权限 |
| ---- | ---- | ---- |
| /etc/shadow | 包含加密形式的用户密码，即使使用 LDAP 进行用户认证，该文件至少包含 root 密码 | - |
| /etc/samba/smbpasswd | 包含 Samba 用户的密码 | 600 |
| 含 Apache 密码的文件 | 位置取决于配置，包含对 Web 服务器授权访问的密码 | - |
| /etc/openldap/slapd.conf | 包含 openLDAP 服务器的 root 密码 | 安装 openldap2 包后为 644 |
| /boot/grub/menu.lst | 可能包含 GRUB 引导加载器的密码 | 600 |

部分密码文件可能对非 root 账户可读，通常是服务守护进程运行的用户账户。例如，Apache Web 服务器以用户 wwwrun 的身份运行，因此密码文件必须对该用户可读，且要确保只有该守护进程账户能读取文件。 <