正文

住宅服务器多用户权限设置教程,从零搭建安全高效的家庭服务器权限体系

admin
admin V管理员 /1.04 K阅读/0评论
0620
文章最后更新时间2026年06月20日,若文章内容或图片失效,请留言反馈!

住宅服务器多用户权限设置教程

安装和配置

安装服务器操作系统

住宅服务器多用户权限设置教程,从零搭建安全高效的家庭服务器权限体系

住宅服务器多用户权限设置教程,从零搭建安全高效的家庭服务器权限体系

在开始之前,请确保您已经安装了适用于您住宅服务器的操作系统,这可以是Linux(如Ubuntu、CentOS等)或Windows Server。

安装数据库服务器

安装并配置数据库服务器,如MySQL或MariaDB,确保为服务器上的所有用户设置强密码,并定期更新它们。

安装Web服务器

安装Web服务器软件,如Apache或Nginx,并进行必要的配置,以便在网络上托管您的网站或应用程序。

创建用户和组

在服务器上创建不同的用户和组,以便更好地管理权限,您可以将用户分配给特定的组。

配置文件和目录权限

为确保安全,需要正确设置服务器上文件的访问权限,以下是一些建议:

  1. 将网站根目录设置为可写,但不执行权限:chmod 2775 /path/to/your/website
  2. 确保敏感文件(如配置文件和密钥)的权限受到限制:chmod 600 /path/to/sensitive/files
  3. 根据需要,设置文件夹和文件的访问权限:chmod 755 /path/to/your/directorychmod 644 /path/to/your/file

SSH访问控制

为了提高安全性,建议使用SSH密钥对而不是密码进行身份验证,要设置此选项,请遵循以下步骤:

  1. 使用以下命令生成SSH密钥对:ssh-keygen
  2. 将公钥添加到服务器上用户的~/.ssh/authorized_keys文件中。
  3. 确保~/.ssh目录和authorized_keys文件的权限受到限制:chmod 700 ~/.sshchmod 600 ~/.ssh/authorized_keys

防火墙设置

配置服务器防火墙以限制对敏感端口的访问,如果您计划运行Web服务器,则需要允许来自外部的HTTP和HTTPS流量。

在Linux系统上,您可以使用iptables或ufw工具进行配置,对于Windows Server,可以在“Windows Defender防火墙”中创建入站规则。

遵循上述步骤,为住宅服务器设置多用户权限,请确保定期审查和更新权限设置,以适应用户需求和新的安全威胁。


为什么需要多用户权限管理?

随着家庭智能化与远程办公的普及,越来越多的技术爱好者在家中使用旧电脑或NAS搭建住宅服务器,用于文件共享、媒体中心、版本控制(如Git)、甚至小型网站或游戏服务器,多人共用的场景下,缺乏权限管理会带来一系列问题:

  • 用户A误删用户B的重要文件
  • 访客权限过大,能够控制系统服务
  • 孩子访问了不该访问的敏感数据
  • 外部账户一旦被攻破,整个服务器暴露

合理的多用户权限设置,既能保护数据安全,又能实现资源按需分配,本教程将围绕Linux(Ubuntu/Debian)系统主流家庭服务器场景展开,兼顾Windows与常见NAS系统。

基础准备:理解Linux权限的三层体系

在动手之前,先掌握Linux权限模型的核心概念(以下在Windows服务器中也有对应逻辑):

  1. 用户(User):每个账户拥有唯一UID,默认目录为 /home/用户名
  2. 用户组(Group):可包含多个用户,方便批量授权,如 family
  3. 权限位(Permission):读(r=4)、写(w=2)、执行(x=1),分别针对拥有者所属组其他用户

示例:/mnt/media 文件夹设置 775 权限,即:

  • 拥有者(如admin):读+写+执行(7)
  • 所属组(如media_users):读+写+执行(7)
  • 其他人:读+执行(5,无删除权限)

场景化权限设置:三大典型需求

家庭成员共享文件,但互不干扰

目标:爸爸(admin)能管理所有文件;妈妈(mom)和孩子(kid)只能访问自己的文件夹,公共文件夹只能读。

步骤:

  1. 创建用户和用户组
    # 创建用户(自动创建同名家目录)
sudo adduser mom
sudo adduser kid

创建共享用户组

sudo groupadd family sudo usermod -aG family mom sudo usermod -aG family kid sudo usermod -aG family admin


2. **设置目录权限**
```bash
# 创建公共只读目录
sudo mkdir -p /home/shared/public
sudo chown -R admin:family /home/shared/
sudo chmod -R 750 /home/shared/   # admin有全部权限,family组只能读
# 创建家长私有目录(仅admin可写)
sudo mkdir /home/shared/parents_only
sudo chmod 700 /home/shared/parents_only
# 创建用户专属目录(每个用户只能写自己的)
sudo mkdir /home/mom/private
sudo chown mom:mom /home/mom/private
sudo chmod 700 /home/mom/private
  1. 常用命令检查
    ls -l /home/shared/
getent group family  # 查看组成员

搭建小型媒体服务器(如Jellyfin/Plex),限制下载权限

目标:媒体库目录对所有用户只读,管理员(mediasrv)能写入新影片,普通用户只能播放。

步骤:

  1. 创建专用账户

    sudo useradd -r -s /bin/false mediasrv  # 系统账户,不能登录
sudo mkdir -p /var/media/{movies,tvshows}

  2. 设置ACL(更精细的权限)

    # 安装ACL工具
sudo apt install acl

赋予mediasrv完全控制,媒体组用户读+执行

sudo setfacl -m u:mediasrv:rwx /var/media/movies sudo setfacl -m g:media_users:rx /var/media/movies

默认权限(新建文件自动继承)

sudo setfacl -d -m u:mediasrv:rwx /var/media/movies sudo setfacl -d -m g:media_users:r-x /var/media/movies


3. **将家庭成员加入媒体组**
```bash
sudo usermod -aG media_users mom

个人NAS(如OpenMediaVault或TrueNAS Scale)

解决方案:NAS系统通常自带Web管理界面,但底层仍是Linux权限。

  • OpenMediaVault:在“用户”菜单中创建账户,在“共享文件夹”中选择“权限”,设置“用户:读写 / 组:只读 / 其他:无访问”
  • TrueNAS Scale:使用ACL管理,更推荐“SMB共享”的“权限向导”,设置“用户权限映射”

关键点:无论哪种系统,始终保持 最小权限原则,即仅授予完成任务所需的最少权限。

进阶控制:sudo权限与访问黑名单

1 精细化sudo授权(普通用户可执行特定命令)

示例:允许用户mom重启Apache服务,但禁止执行其他命令。

# 编辑sudoers(建议使用visudo)
sudo visudo -f /etc/sudoers.d/custom
# 添加规则
mom ALL=(root) /usr/bin/systemctl restart apache2
%family ALL=(root) /usr/sbin/reboot  # 整个组可重启

2 SSH访问限制

禁止某些用户通过SSH登录:

sudo nano /etc/ssh/sshd_config
# 添加以下行
DenyUsers kid
DenyGroups guests
sudo systemctl restart sshd

3 磁盘配额管理(防止硬盘被单个用户占满)

# 安装配额软件
sudo apt install quota -y
# 开启配额(在fstab中添加 usrquota,grpquota)
sudo mount -o remount,usrquota /home
sudo quotacheck -cum /home
sudo edquota -u kid  # 设置软限制10G,硬限制12G

安全管理:定期审计与日志记录

  1. 查看登录历史

    last -10          # 最近10条登录记录
lastb -5          # 失败登录记录

  2. 追踪文件权限变更

    sudo apt install aide      # 文件完整性检查
sudo aideinit
sudo aide --check          # 检查未被授权的修改

  3. 使用chattr锁定关键文件

    sudo chattr +i /etc/passwd   # 禁止修改用户列表(即使root也不可修改,需先解锁)

Windows住宅服务器权限设置简版

如果是Windows Server或Windows 10/11专业版搭建的家庭服务器:

  1. 创建本地用户:设置 → 账户 → 家庭和其他用户 → 将其他人添加到这台电脑
  2. NTFS权限设置:右键文件夹 → 属性 → 安全 → 编辑 → 添加用户,设置“读取和执行”或“完全控制”
  3. 组策略限制(专业版可用):gpedit.msc → 计算机配置 → Windows设置 → 安全设置 → 本地策略 → 用户权限分配

常见问题排查

Q:用sudo设置权限后,用户仍然无法访问?
A:检查用户是否已切换到了正确的组(需重新登录生效);同时检查父目录的权限是否阻挡了子目录的访问(如 /home 需要 755 以上权限)。

Q:如何快速撤销某个用户的所有访问权限?
A:sudo userdel -r username(删除用户和家目录);或仅移除用户组:sudo gpasswd -d username groupname

Q:设置后NAS上的SMB共享仍然所有人可见?
A:在Samba配置文件 /etc/samba/smb.conf 中,添加 valid users = @media_usersvalid users = mom, dad,然后重启smbd服务。

维护建议与最佳实践

  • 使用用户组而非单独管理每个用户:例如有小朋友来访时,将其加入 guests 组,统一限制只读访问
  • 定期备份权限配置sudo chmod -R --reference=ref_dir target_dir 可复制权限结构
  • 使用脚本自动化:将常用创建用户的命令写成脚本,避免手工错误
  • 测试环境先行:在非生产环境尝试权限设置,确保不会锁定自己

住宅服务器的多用户权限管理并不复杂,核心在于 “先规划用户角色,再按角色分配资源,最后绑定访问控制”,无论你是为家庭搭建影音中心,还是运行个人网站,掌握这套权限体系,都能让你的服务器在共享与安全之间获得平衡,下一次当孩子误删了你的工作文件,或者访客意外打开了SSH端口时,你会庆幸自己提前做好了这些设置。

(全文约2200字,适用于有一定基础但需要结构化指导的家庭服务器用户)