docs(linux): 新增Linux用户管理、权限管理和开发服务器最佳实践速查表

添加三篇Linux相关速查表文档：
1. 用户管理速查表，涵盖用户/组操作、sudo权限和账号安全
2. 权限管理速查表，包含基本权限、ACL和Capabilities
3. 开发服务器最佳实践，提供安全基线、部署和监控指南

Author: mudssky

.trae/documents/新增 Linux 用户与权限管理及开发服务器最佳实践 Cheatsheet 计划.md

@@ -0,0 +1,62 @@
+## 目标
+- 在 `c:\home\env\powershellScripts\docs\cheatsheet\linux` 下新增 3 篇 Cheatsheet：
+  1) 用户管理
+  2) 权限与 ACL/Capabilities 管理
+  3) Linux 作为开发服务器的最佳实践
+- 维持现有目录命名风格（英文目录、文件名可中英文混用），与已存在的 `network/`、`server/` 等结构保持一致。
+
+## 目录与文件结构
+- `linux/user/user_management.md`
+- `linux/permission/permission_management.md`
+- `linux/server/development_server_best_practices.md`
+
+## 文档内容大纲
+
+### 1) 用户管理（`user_management.md`）
+- 基本概念：`/etc/passwd`、`/etc/shadow`、`/etc/group`、登录 shell、home 目录、`/etc/skel`
+- 用户增删改查：`adduser` vs `useradd`、`passwd`、`usermod`、`userdel`、批量创建策略
+- 组管理：`groupadd`、`groupdel`、`groupmod`、`gpasswd`、主组/附属组、`id`/`groups`
+- 账号安全：锁定/解锁 `passwd -l/-u`、过期策略 `chage`、禁用登录 shell、强密码策略（PAM 简述）
+- Sudo 管理：`visudo`、`/etc/sudoers`、`/etc/sudoers.d/`、最小权限原则、常见规则示例
+- 会话与审计：`who`、`last`、`lastlog`、`journalctl -u ssh`、`faillog`、失败登录排查
+- 常见排错：家目录权限错误、shell 不存在、`nologin`、`PATH` 问题
+
+### 2) 权限与 ACL/Capabilities 管理（`permission_management.md`）
+- 权限模型：拥有者/组/其他，读写执行；符号/八进制表示法
+- 权限命令：`chmod`、`chown`、`chgrp`、`umask`（持久化到 shell 配置）
+- 特殊位：setuid、setgid、sticky；`find -perm` 检查
+- ACL：`getfacl`/`setfacl`、默认 ACL、与传统权限的关系与优先级
+- 文件属性：`chattr`/`lsattr`（不可变等）
+- Linux Capabilities：`getcap`/`setcap`，最小权限替代 setuid 的场景
+- 安全域：SELinux/AppArmor 概览、查看/调整模式的基本命令与排错思路
+- SSH/服务文件权限：`~/.ssh` 目录与文件权限、`systemd` 单元文件权限建议
+
+### 3) 开发服务器最佳实践（`development_server_best_practices.md`）
+- 基础选择：发行版（Ubuntu LTS 等）、时区/Locale、主机名约定
+- 安全基线：仅密钥登录、禁用 root 登录、端口与 `ufw`/`nftables`、`fail2ban`、自动更新 `unattended-upgrades`
+- 用户与 sudo：分层用户、最小权限、`sudoers` 规范、审计策略
+- 包与环境：`apt` 基本流程、`logrotate` 与 `journald`、`timesyncd`/NTP、磁盘与日志容量监控
+- 运行时栈：Node（`nvm`）、Python（`pyenv`/venv）、Rust（`rustup`）、容器（`docker`/rootless `podman`）
+- 部署与服务：`systemd` 单元编写规范、健康检查、回滚策略、灰度发布思路
+- 网络与代理：SSH 隧道、反向代理（与已有 `server/caddy/` 相关）、内网访问策略
+- 远程开发：`OpenSSH` + VS Code Remote、`tmux`、常用终端工具（与 `terminal/` 目录呼应：`fzf`/`zoxide`）
+- 监控与告警：`node_exporter` + Prometheus 基线、备份策略与恢复演练
+
+## 与现有文档的关联
+- 参考并交叉链接：`linux/apt.md`（包管理）、`linux/env.md`（环境与变量）、`linux/server/caddy/*`（反向代理/静态站点）
+- 保持术语与命令风格一致，命令示例使用简洁、直接可复制的形式。
+
+## 交付方式
+- 创建上述目录与文件，并填充内容（中文为主，命令与路径保持英文）
+- 每篇文档以“速查表”结构呈现：概念简述 + 常用命令块 + 注意事项/坑点 + 示例
+- 在 `linux/` 下不改动现有文件命名，新增独立文档便于模块化维护
+
+## 验收标准
+- 目录结构按计划创建；3 篇文档均完成初版并可直接使用
+- 每篇至少包含：核心概念、10+ 常用命令示例、常见错误与排错建议
+- 与现有相关文档有明确交叉链接；风格统一、便于快速阅读复制
+
+## 后续维护建议
+- 根据团队使用场景追加发行版差异章（如 Debian/AlmaLinux）
+- 将高频命令整合为脚本片段（未来可迁移到 `scripts/`）
+- 定期安全基线复盘与更新（SSH、防火墙、容器根less 化推进）

docs/cheatsheet/linux/permission/permission_management.md

@@ -0,0 +1,65 @@
+# Linux 权限与 ACL/Capabilities 速查表
+
+## 概览
+- 权限层级：拥有者（user）/组（group）/其他（other）
+- 表示法：符号（`u/g/o`、`r/w/x`）与八进制（`chmod 640`）
+- 扩展机制：ACL（细粒度用户/组权限）、Capabilities（可替代部分 setuid）
+
+## 基本权限
+- 查看权限：`ls -l`、`namei -l 路径`
+- 修改权限：
+  - 符号法：`chmod u=rw,g=r,o=--- file`
+  - 八进制：`chmod 640 file`
+- 拥有者与组：`chown alice:developers file`、`chgrp developers file`
+- 默认权限：`umask`（临时：`umask 027`；持久化：写入 `~/.profile` 或 `/etc/profile`）
+
+## 特殊位
+- setuid：可执行文件以文件拥有者身份运行（安全风险）
+- setgid：目录使新建文件继承目录组；可执行以组身份运行
+- sticky：目录中只有文件拥有者可删除（如 `/tmp`）
+- 检查/设置：
+  - 八进制高位：`chmod 4755 file`（4=setuid，2=setgid，1=sticky）
+  - 符号位：`chmod u+s file`、`chmod g+s dir`、`chmod +t dir`
+- 搜索特殊权限：`find / -perm -4000 -type f -exec ls -l {} +`（审计 setuid）
+
+## ACL（访问控制列表）
+- 查看：`getfacl file`
+- 赋予特定用户/组：
+  - `setfacl -m u:alice:rw file`
+  - `setfacl -m g:developers:r file`
+- 默认 ACL（目录对子文件生效）：`setfacl -m d:u:alice:rwX dir`
+- 删除条目：`setfacl -x u:alice file`
+- 清空 ACL：`setfacl -b file`
+- 注意：ACL 与传统权限共同作用，优先匹配具体条目
+
+## 文件系统属性（`chattr`/`lsattr`）
+- 不可变：`sudo chattr +i file`（即使 root 也不可更改/删除）
+- 只追加：`sudo chattr +a logfile`（仅允许追加写入）
+- 查看：`lsattr file`
+- 适用：ext 系列文件系统
+
+## Linux Capabilities
+- 查看：`getcap /path/to/bin`
+- 赋予：`sudo setcap cap_net_bind_service=+ep /usr/local/bin/myapp`
+- 场景：允许非 root 绑定低端口等，替代 setuid 的部分需求
+- 清除：`sudo setcap -r /usr/local/bin/myapp`
+
+## SELinux / AppArmor（概览）
+- 模式查看：
+  - SELinux：`getenforce`、`sestatus`
+  - AppArmor：`aa-status`
+- 切换（临时/持久化需谨慎）：`setenforce 0/1`
+- 审计排错：查看相关日志（`/var/log/audit/audit.log` 或 `journalctl`）
+
+## SSH 与系统配置文件的权限建议
+- `~/.ssh`：目录 `700`、`authorized_keys` `600`、`config` `600`
+- systemd 单元：`/etc/systemd/system/*.service` 保持 root 可写，应用目录最小权限
+- 私密配置：使用最小可读原则，避免组/其他可读
+
+## 常见排错
+- 权限不足但 ACL 生效：确认 ACL 条目与默认 ACL 是否覆盖
+- setuid/setgid 异常：检查挂载选项与安全策略是否屏蔽
+- Capabilities 无效：确认文件系统/内核支持、二进制是否符合要求
+
+## 参考
+- 相关文档：`../env.md`（环境与变量）、`../apt.md`（包管理）

docs/cheatsheet/linux/server/development_server_best_practices.md

@@ -0,0 +1,67 @@
+# Linux 开发服务器最佳实践速查表
+
+## 目标
+- 构建稳定、安全、可维护的开发服务器基线
+- 提供最小权限、自动化更新、可观测性与便捷远程开发
+
+## 安全基线
+- 仅密钥登录：`/etc/ssh/sshd_config` → `PasswordAuthentication no`、`PermitRootLogin no`
+- 端口与防火墙：`ufw default deny`、仅开放必要端口；或使用 `nftables`
+- 防爆破：`fail2ban`（监控 SSH 日志、合理的 ban 策略）
+- 自动更新：`unattended-upgrades`（安全更新自动安装，邮件通知）
+- 系统时间与日志：启用 `systemd-timesyncd`；`journalctl` 与 `logrotate` 配置
+
+## 系统与包管理
+- 选择发行版：优先 LTS（如 Ubuntu LTS）
+- 基础包：`build-essential`、`curl`、`git`、`htop`/`btop`、`vim`/`neovim`
+- 本地化：时区 `timedatectl set-timezone`、Locale 统一（避免构建差异）
+- 磁盘与健康：`smartctl`、`df -h`、`du -sh`、inode 与日志占用监控
+- 参考：`../env.md`、`../apt.md`
+
+## 用户与权限
+- 分层用户：管理员（sudo）、普通开发、CI/服务用户（受限权限）
+- 最小权限：`sudoers` 精细化（使用 `/etc/sudoers.d/`），拒绝 `ALL`
+- 目录与权限：统一 umask；共享目录使用 setgid 与组策略；敏感目录使用 `chattr +i`
+
+## 运行时与容器
+- Node：`nvm` 管理多版本；默认使用 LTS；隔离项目 node_modules
+- Python：`pyenv`+`venv`；避免系统 Python 污染
+- Rust：`rustup`（稳定工具链）
+- 容器：优先 rootless（`podman`）或限制权限的 `docker`；最小镜像，固定 tag
+- 私有仓库与拉取策略：凭据管理、镜像扫描、网络策略（代理/出口控制）
+
+## 部署与服务管理（systemd）
+- 单元文件规范：指定用户、工作目录、环境变量、Restart 策略（如 `on-failure`）
+- 健康检查：使用 `ExecStartPre`、`ExecStartPost` 与 `ExecReload`；失败告警
+- 日志：`StandardOutput=journal`，结合 `journalctl -u service -f`
+- 回滚与灰度：保留旧版本、分批更新、反向代理路由控制（见 `caddy/`）
+
+## 网络与代理
+- 反向代理：`Caddy`/`Nginx`（证书自动管理、限速、缓存）
+- SSH 隧道：临时开放内部端口；跨网络安全访问
+- DNS/hosts：统一命名策略（如 `dev-<team>-<service>`）
+
+## 监控与日志
+- 资源监控：`node_exporter` + Prometheus；基础报警（CPU、内存、磁盘、负载）
+- 日志聚合：集中化（如 Loki/ELK）；应用日志标准化（JSON、结构化）
+- 追踪与指标：OpenTelemetry 基线（采样、导出）
+
+## 远程开发与效率
+- VS Code Remote SSH；`tmux` 会话复用；`fzf`、`zoxide`、`ripgrep` 快速检索
+- 包管理与脚本：统一脚本目录，避免手工命令分散与漂移
+- 代理与网络：必要时配置开发代理（如 Clash），分流策略与白名单
+
+## 备份与恢复
+- 配置与数据分层备份：`/etc`、应用配置、数据库与持久化目录
+- 备份策略：定期/保留周期、异地/跨账户；恢复演练（文档化步骤）
+
+## 快速检查清单
+- [ ] SSH 仅密钥、禁 root；`ufw`/`fail2ban` 生效
+- [ ] 自动安全更新启用，系统时间同步
+- [ ] 用户分层与最小权限；共享目录权限有明确策略
+- [ ] 运行时通过 `nvm`/`pyenv`/`rustup` 管理；容器 rootless/最小镜像
+- [ ] 部署以 systemd 管理，日志结构化；具备回滚与灰度能力
+- [ ] 监控与报警基线就绪；备份策略可演练
+
+## 参考
+- 相关文档：`../env.md`、`../apt.md`、`../server/caddy/caddy.md`、`../server/caddy/静态站点最佳实践.md`

docs/cheatsheet/linux/user/user_management.md

@@ -0,0 +1,67 @@
+# Linux 用户管理速查表
+
+## 概览
+- 关键文件：`/etc/passwd`、`/etc/shadow`、`/etc/group`、`/etc/skel`
+- 常用工具：`adduser`、`useradd`、`usermod`、`userdel`、`passwd`、`groupadd`、`gpasswd`、`id`、`groups`
+- 推荐：优先使用交互友好的 `adduser`（Debian/Ubuntu）；批量/脚本用 `useradd`
+
+## 基本查询
+- 当前身份：`id`、`whoami`
+- 查看用户：`getent passwd`、`getent passwd 用户名`
+- 查看组：`getent group`、`getent group 组名`
+- 查看附属组：`groups 用户名`
+
+## 创建用户
+- 交互创建（含家目录与初始配置）：
+  - `sudo adduser alice`
+- 非交互创建（更可控）：
+  - `sudo useradd -m -s /bin/bash -c "Alice" alice`
+  - 设置密码：`echo 'alice:StrongPass' | sudo chpasswd`
+- 指定主组与附属组：
+  - 主组：`sudo useradd -m -g developers alice`
+  - 附属组：`sudo usermod -aG docker,sudo alice`
+- 使用 `/etc/skel` 模板：自动复制默认文件到家目录
+
+## 修改与删除
+- 修改登录 shell：`sudo chsh -s /bin/zsh alice`
+- 修改家目录/注释等：`sudo usermod -m -d /home/alice alice`、`sudo usermod -c "Alice Dev" alice`
+- 删除用户：
+  - 保留家目录：`sudo userdel alice`
+  - 删除家目录：`sudo userdel -r alice`
+
+## 组管理
+- 新建组：`sudo groupadd developers`
+- 删除组：`sudo groupdel developers`
+- 重命名：`sudo groupmod -n devs developers`
+- 管理组成员：
+  - 加入：`sudo gpasswd -a alice developers`
+  - 移除：`sudo gpasswd -d alice developers`
+
+## Sudo 权限
+- 编辑规则：`sudo visudo`（安全检查）；或在 `/etc/sudoers.d/` 新增片段
+- 常用示例：
+  - 允许组免密执行特定命令：
+    - `%deploy ALL=(root) NOPASSWD: /usr/bin/systemctl restart myapp`
+  - 只允许某命令：
+    - `alice ALL=(ALL) /usr/bin/journalctl -u myapp`
+- 最小权限原则：只授予必要命令，避免 `ALL` 与通配符
+
+## 账号安全与生命周期
+- 锁定/解锁：`sudo passwd -l alice`、`sudo passwd -u alice`
+- 过期策略：`sudo chage -E 2026-01-01 alice`、`sudo chage -M 90 -W 7 alice`
+- 禁用登录：`sudo usermod -s /usr/sbin/nologin alice`
+- 强密码策略：使用 PAM（如 `pam_pwquality`）与系统策略
+
+## 会话与审计
+- 在线用户：`who`、最近登录：`last`、从不登录：`lastlog`
+- SSH 日志：`journalctl -u ssh -e`、失败登录统计：`faillog -a`
+- 变更审计（建议）：`auditd` 基线配置与规则
+
+## 常见问题排查
+- 家目录权限错误：`sudo chown -R alice:alice /home/alice`；`chmod 700 /home/alice`
+- SSH 登录失败：检查 `~/.ssh` 权限（目录 700，文件 600）、`AuthorizedKeysFile` 设置
+- shell 不存在：`which bash`/`zsh`，确认 `/etc/shells` 中存在
+- PATH 异常：检查 `/etc/profile`、`~/.profile`、`~/.bashrc`，以及 `umask` 设置
+
+## 参考
+- 相关文档：`../env.md`（环境变量）、`../apt.md`（包管理）