云服务器权限设置错误，如何调整

云服务器权限设置错误修复与加固指南
一、Linux 修复流程

• 紧急恢复 SSH 与 su 的可登录状态（避免被锁在外面）
• 保持当前会话不断开，先校正关键文件权限：
• 账户与组文件
• chmod 644 /etc/passwd /etc/group /etc/shadow
• chmod 400 /etc/gshadow
• SSH 目录与密钥
• chmod 600 /etc/ssh/moduli /etc/ssh/ssh_*_key
• chmod 644 /etc/ssh/ssh_config /etc/ssh/*.pub
• chmod 640 /etc/ssh/sshd_config（部分系统还需对 ssh_config.d 递归设置 640）
• 特殊目录与 su 的 SUID
• chmod 711 /var/empty/sshd
• chmod u+s $(which su)
• 校验 SSH 服务状态：systemctl status sshd，确保服务可启动后再继续后续修复。
• 批量恢复系统权限（推荐方式）
• 在另一台同版本、权限正常的临时 Linux 主机执行：getfacl -R / > systemp.bak
• 将 systemp.bak 传到故障主机（如：scp systemp.bak root@故障IP:/）
• 在故障主机恢复：setfacl --restore=systemp.bak
• 重启并验证：reboot
• 无法使用 ACL 备份时的兜底
• 参考同版本系统的“标准权限清单”逐项校正（仅对关键目录与文件操作，避免递归破坏），优先确保 /etc、/etc/ssh、/var/empty/sshd、/usr/bin/su 等关键路径可用，再逐步扩展到业务目录。
• 重要提醒
• 根目录或系统目录被设为 777 存在重大安全风险；完成恢复后应立刻备份数据，并考虑重装系统以彻底消除隐患。

二、Windows 修复流程

• 使用控制台 VNC 登录实例，避免远程策略错误导致彻底无法进入系统。
• 调整本地安全策略
• 打开“本地安全策略” → 本地策略 → 用户权限分配：
• 检查“拒绝通过远程桌面服务登录”，如包含目标用户则移除。
• 检查“允许通过远程桌面服务登录”，确保包含 Administrators 与 Remote Desktop Users。
• 校正用户组成员身份
• 运行 lusrmgr.msc → 用户 → 目标用户 → 隶属于：
• 将需要远程登录的用户加入 Remote Desktop Users（非管理员建议仅加入此组）。
• 验证
• 使用 RDP 客户端测试登录，确认权限已生效。

三、常见场景快速处置

• Linux 执行 chmod 报 “Operation not permitted”
• 使用具有 sudo 权限的账户执行；若仍失败，检查是否为只读文件系统或文件被不可变属性（如 chattr +i）保护，必要时先解除只读/属性后再修改。
• 误将根目录 chmod -R 777
• 先按“紧急恢复 SSH 与 su”步骤保住登录，再用 getfacl/setfacl 恢复；若 ACL 不可用，按标准清单逐项校正；恢复后备份并计划重装系统。
• Windows 远程桌面提示“没有远程登录的权限”
• 按“Windows 修复流程”检查拒绝策略、允许策略与组成员身份，优先使用 Remote Desktop Users 授予权限。

四、加固与预防

• 最小权限与访问控制
• Linux：避免使用 777；Web 目录常用 755，文件 644；关键文件仅 root 可写；SSH 私钥 600；禁止在生产环境以 root 直接对外服务。
• Windows：日常使用普通域/本地账户，授予“远程桌面用户”而非管理员；定期审计组成员与登录权限。
• 远程访问安全
• 仅放通必要端口与来源 IP；优先使用密钥登录 SSH；RDP 端口变更后同步更新安全组/防火墙规则；必要时禁用 root 远程登录（Linux）或限制 RDP 源地址（Windows）。
• 变更管控与回滚
• 调整权限前先创建快照/备份；对关键策略变更采用“先 VNC/控制台接入、再改策略、最后验证”的顺序，避免失联。