检查操作系统用户账户权限并合理分配资源是检查系统安全的重要环节。以下是操作分步骤的指南,涵盖Linux和Windows系统:

一、系统限设Linux系统检查与配置

1. 列出所有用户及组

bash

cat /etc/passwd 查看所有用户

cat /etc/group 查看所有组

groups <用户名>查看特定用户所属组

2. 检查管理员权限(sudo)

  • 查看拥有sudo权限的户账户权用户:

    • bash

    grep -Po '^sudo.+:K.$' /etc/group

  • 编辑`/etc/sudoers`(使用`visudo`命令):

    • bash

    visudo 移除不必要的用户或组

    3. 检查文件和目录权限

  • 关键目录权限(如`/home`、`/etc`):

    • bash

    ls -ld /home /etc 确保权限为755或更严格

  • 查找全局可写文件:

    • bash

    find / -xdev -type d ( -perm -0002 -a ! -perm -1000 ) 目录

    find / -xdev -type f -perm -o=w 文件

    4. 检查SUID/SGID文件

    bash

    find / -perm /4000 SUID文件

    find / -perm /2000 SGID文件

  • 删除或修改不必要的置确SUID/SGID权限(如`chmod u-s 文件名`)。

    • 5. 用户家目录权限

    bash

    chmod 700 /home/<用户名>确保仅用户可访问

    6. 设置资源限制

  • 编辑`/etc/security/limits.conf`,保合限制用户资源(如CPU、理分内存):

    • conf

    hard nproc 1000 最大进程数

    hard rss 500000 内存限制(KB)

  • 使用`ulimit`验证限制。配资

    • 7. 磁盘配额

    bash

    sudo apt install quota 安装工具

    sudo edquota -u <用户名>配置用户配额

    8. 禁用默认账户

    bash

    sudo passwd -l root 禁用root登录(可选)

    sudo usermod -L <用户名>锁定其他账户

    二、检查Windows系统检查与配置

    1. 用户与组管理

  • 打开`lusrmgr.msc`(本地用户和组):
  • 删除未使用的操作账户。
  • 将普通用户移出`Administrators`组。系统限设

    • 2. 检查权限分配

  • 打开`secpol.msc`(本地安全策略):
  • 路径:安全设置 >本地策略 >用户权限分配。户账户权
  • 检查“调试程序”“作为服务登录”等权限,置确仅分配给必要账户。保合

    • 3. 文件/文件夹权限

  • 右键文件夹 >属性 >安全 >高级:
  • 移除无关用户的理分写权限,特别是系统目录(如`C:Windows`)。

    • 4. 磁盘配额

  • 右键磁盘 >属性 >配额 >启用配额管理,限制用户空间。

    • 5. 服务账户权限

  • 服务管理器(`services.msc`)中,检查服务登录身份是否为最低权限账户。

    • 6. 禁用默认账户

  • 组策略(`gpedit.msc`)中禁用Guest账户:
  • 路径:计算机配置 >Windows设置 >安全设置 >本地策略 >安全选项 >账户:来宾账户状态。

    • 7. 密码策略

  • 组策略中设置密码复杂度、最长使用期限等。

    • 三、通用建议

  • 最小权限原则:用户仅拥有完成任务所需的最低权限。
  • 定期审计:使用工具(如Linux的`auditd`、Windows事件查看器)监控用户活动。
  • 自动化检查:编写脚本定期扫描权限异常(如Linux的Cron任务、Windows计划任务)。

    • 通过上述步骤,可有效确保用户权限合理分配,降低资源滥用风险,提升系统安全性。