在 Linux 系统中,adm 组(Administrators)是一个标准的系统组,其主要作用是允许组成员读取某些特定的系统日志文件。
以下是关于 adm 组的详细说明:
主要用途
- 访问系统日志:
adm组的成员通常被授权读取/var/log/目录下的日志文件(如syslog、auth.log、kern.log等)。 - 非超级用户权限:它允许普通用户在不拥有 root 权限的情况下查看系统日志,便于日常监控和问题排查。
- 不包含管理权限:
adm组不提供执行管理命令(如、sudo
apt、systemctl等)的权限,它只是一个“只读”日志访问组。
与 sudo 或 wheel 组的区别
| 组名 | 权限级别 | 主要用途 |
|---|---|---|
adm | 低 | 仅允许读取系统日志文件 |
sudo (Debian/Ubuntu) 或 wheel (RHEL/CentOS) | 高 | 允许通过 sudo 执行任意命令(需密码或免密) |
⚠️ 注意:将用户加入
adm组不等于赋予其管理员权限。
如何查看当前属于 adm 组的用户
getent group adm
或
grep adm /etc/group
如何将用户添加到 adm 组
sudo usermod -aG adm username
-a:追加(append),避免移除用户原有的其他组。-G:指定附加组。- 添加后,用户需要重新登录才能使新组权限生效。
典型日志文件权限示例
$ ls -l /var/log/syslog -rw-r----- 1 root adm 123456 Jul 10 10:00 /var/log/syslog
可以看到,
syslog 文件的组所有者是 adm,权限为 rw-r-----,即:
- 所有者(root):可读可写
- 组(adm):只读
- 其他用户:无权限
安全建议
- 不要将
adm组误认为是“管理员组”。 - 如果希望用户拥有完整的管理权限,应将其加入
sudo(Ubuntu/Debian)或wheel(RHEL/CentOS/Fedora)组。 - 对于敏感日志(如包含密码哈希的
/var/log/auth.log),建议限制adm组的访问范围,或使用更精细的权限控制(如setfacl)。
如有进一步问题,欢迎继续提问!
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/478287.html



