建立中要新增如下的專案經驗:
在了解公司業務流程後,提出許可權整改解決方案,改進公司超級使用者root許可權氾濫的問題。
我首先寫好方案後,給老大看,取得老大的支援後,召集大家開會討論。
討論確定可行後,由我負責推進實施
實施後結果,公司伺服器許可權管理更加清晰了。
制定賬號許可權申請流程以及許可權申請**
當前我們公司伺服器上百臺,各個伺服器上需要管理的人很多(開發+運維+架構+dba+產品+市場),在大家同時登入linux伺服器的時候,不同職能員工的水平不同,因此導致很不規範,root許可權氾濫(幾乎大部分人都擁有root許可權),經常導致檔案莫名奇妙的丟失,老手和新手對伺服器的熟知程度不同,這樣使得公司伺服器安全存在很大的不穩定性,以及操作的安全性。據企業調查,50%的以上的安全問題都來自於內部。而不是外部。為了解決以上問題,單個使用者管理許可權過大的現狀,現提出使用者許可權集中管理的方案。
我們既希望超級使用者root密碼掌握在少數或者唯一人的手中,又希望多個系統管理員或者相關許可權的的人員,可以完成更多更複雜的與自身職能相關的工作。不至於越權操作導致系統安全隱患。
那麼如何解決多個管理員都能解決系統而且又不讓超級許可權氾濫呢?這就需要sudo管理來代替或者結合su命令來完成這樣苛刻且必要的伺服器使用者管理需求。
針對公司裡面不同部門,根據員工的具體工作職能(例如:開發,運維資料庫管理員等),分等級、層次的的實現對linux伺服器管理許可權的最小化和規範化。這樣既減少了運維管理的成本,消除了安全隱患,也提高了工作效率,實現了高質量、快速化的完成專案進度以及日常的系統維護。
說明:實施方案一般由積極主動發現問題的運維人員提出問題的,然後寫好方案,再召集大家討論可行性,最後確定方案,實施部署,最後後期維護總結。
思想:在提出問題之前,一定要想到如何解決,一併發出來解決方案
到此為止:你應該寫完許可權規劃文件了。
4,1.1
召集相關部門的領導通過會議討論或者組織領導溝通確定許可權管理方案的可行性。需要支援的人員:運維經理或者總監,cto的支援、各部門領導的支援。我們作為運維人員,拿著老師這樣型別的方案,給大家講解這個文件。通過會議的形式做演講,慷慨激昂的演說,取得老大們的認可。才是專案可以實施的前提。當然,如果不實施,你也得到了鍛鍊,老大對你積極主動的思想**架構問題也是另眼看待的。
4.1.2
確定方案的可行性以後,會議負責彙總,提交、審核所有相關人員對linux伺服器的許可權需要問題。
取得老大們的支援以後,通過發郵件或者聯絡相關人員取得需要的相關員工許可權。比如說:請各部門經理整理歸類本部門需要登入的linux的許可權人員名單、職位、以及負責的業務及許可權。如果說不清楚許可權細節,就說負責的業務細節。這樣運維人員就可以確定需要是什麼許可權了。
4.1.3
按照需求執行linux命令程式以及公司業務服務來規劃許可權和人員對應配置。
主要是運維人員根據上面蒐集的人員名單,需要的業務以及權角色,對應賬號的配置許可權,實際上就是sudo配置檔案。
4.1.4
許可權方案一旦實施以後,所有員工必須通過《員工linux伺服器管理許可權申請表》來申請對應的許可權,確定審批流程,規範化管理。這裡實施後,把住許可權申請流程很重要,否則大家不聽話,方案實施也會泡湯的。
4.1.5
寫操作說明,對各部門人員進行操作講解,sudu執行命令,設計的path變數問題。運維提前處理好。
資訊採集的結果如下:
某部門idc許可權細化方案:
目前idc系統賬號所有的許可權都是超級許可權,在安全方面存在著隱患,本著「給使用者盡可能少的許可權但仍允許他們完成任務」的宗旨,如今對常用命令進行分類細化:
許可權對照**:
processes
/bin/kill, /usr/bin/kill, /usr/bin/killall, /usr/bin/pkill, /bin/netstat, /bin/ps
fcmd_0
/sbin/reboot, /sbin/shutdown, /sbin/init 0, /sbin/init 6
fcmd_1
/bin/su - adsystem,/bin/su - audit,/bin/su - huapi, /bin/su - searchcenter, /bin/su - swebng
fcmd_2
/server/script/rhy/shangxian, /server/script/rhy/shangxian/hashangxian/shangxian,
fcmd_3
/bin/cat,/bin/ls
擁有許可權
簡要說明
普通開發許可權
nopasswd:fcmd_1,fcmd_3,processes
無需密碼切換到分使用者殺死程序重啟服務,檢視等許可權
開發sudo許可權
nopasswd:!/bin/sudo su - root,fcmd_0
除了可以切到root,蘇可以執行除重啟機器外的所有許可權
運維上線權
nopasswd:fcmd_1,fcmd_2,fcmd_3,processce
無密碼切換到分使用者,切換到負載均衡,重啟服務
運維超級權
nopasswd:all
所有許可權
分使用者許可權
nopasswd:processer,
/run/apache/bin/apachectl -k start
分使用者殺死和啟動程序
做了如下的測試結果:
建立了三個普通分使用者t1,t2,t3, shell指令碼如下:
#create three user t1 t2 and t3
for u in t1 t2 t3
douseradd $u
echo "123"|passwd --stdin $u
done
建立了四個許可權測試使用者,為普通開發許可權、開發sudo許可權,運維上線許可權,運維超級許可權
#create develope users and operators as test
for name in ordinary_develop sudo_develop ordinary_operator root_operator
douseradd $name;
echo "123"|passwd --stdin $name;
done
先在文字檔案中編輯visodu的設定:
#set command by option
cmnd_alias processer = /usr/sbin/useradd,/usr/sbin/userdel
cmnd_alias fcmd_0 = /sbin/reboot, /sbin/shutdown, /sbin/init 0, /sbin/init 6
cmnd_alias fcmd_1 = /bin/su - t1, /bin/su - t2, /bin/su - t3
cmnd_alias fcmd_2 = /server/script/rhy/shangxian, /server/script/rhy/shangxian/hashangxian/shangxiain
cmnd_alias fcmd_3 = /bin/cat, /bin/ls
#show host
#host_alias service = smtp, smtp2, moban
#set users
user_alias ordinary_develop = ordinary_develop
user_alias sudo_develop = sudo_develop
user_alias ordinary_users = t1, t2, t3
user_alias ordinary_operator = ordinary_operator
user_alias root_operator = root_operator
#runas_alias op = root
#set authority
ordinary_develop service=(op) nopasswd:fcmd_1,fcmd_3,processer
sudo_develop service=(op) nopasswd:!/bin/sudo su - root,!/bin/sudo su -,fcmd_0
ordinary_operator service=(op) nopasswd:fcmd_1,fcmd_2,fcmd_3,processer
root_operator service=(op) nopasswd:all
ordinary_users service=(op) nopasswd:processer, /run/apache/bin/apachectl -k start
再使用visodu進行編輯配置
登入sudo_develop測試許可權:
測試結果很不錯,很好的控制住了使用者的許可權。
企業生產環境使用者sudo許可權集中管理專案方案案例
級別許可權初級運維 檢視系統資訊,檢視網路狀態 usr bin free,usr bin iostat,usr bin top,bin hostname,sbin ifconfig,bin netstat,sbin route 高階運維 檢視系統資訊,檢視和修改網格配置,程序管理,軟體包管理,儲存管...
使用者許可權集中管理方案
1 需求 最小化 1 安裝軟體最小化。2 目錄許可權最小化。3 使用者許可權最小化。4 程式執行許可權最小化 那麼,如何解決多個系統管理員都能管理系統而不讓超級許可權氾濫的需求呢?這就需要sudo管理來替代和結合su命令來完成這樣苛刻且必要的企業伺服器使用者管理需求。2 實現 針對公司不同部門,根據...
使用者許可權集中管理 使用者行為日誌審計管理方案
禁止root使用者ssh登入 vim etc ssh sshd config usedns no permitrootlogin no addressfamily inet syslogfacility authpriv passwordauthentication yes service sshd...