1:需求:
最小化: 1)安裝軟體最小化。2)目錄許可權最小化。3)使用者許可權最小化。4)程式執行許可權最小化
那麼,如何解決多個系統管理員都能管理系統而不讓超級許可權氾濫的需求呢?這就需要sudo管理來替代和結合su命令來完成這樣苛刻且必要的企業伺服器使用者管理需求。
2 實現
針對公司不同部門,根據員工職能,分等級分層次的實現對linux伺服器管理的許可權最小化,規範化。這樣既減少了運維管理成本,消除了安全隱患,又提高了工作效率,實現了高質量,快速化的完成專案進度,以及日常維護。
3 實施方案
說明:主動發現問題---------=---寫好方案-------------召集大家討論可行性-----------最後確定方案-----------實施部署----------------總結維護。
4 資訊採集
1.1 : 寫好方案,取得領導支援
1.3: 根據需要執行的linux命令程式及公司業務來規劃許可權和人員對應配置,實際就是配置sudo配置檔案
1.4: 對許可權進行規範化處理,確定許可權審批流程
1.5: 寫好操作說明,
5 使用者與許可權對應
舉例:
5 模擬使用者
易錯點:
不建議用all
6 成功後發郵件通知生效
7 指定許可權申請流程表
8 後期維護,一般不是特別緊急的需求,一律走審批流程
sudoers配置規則
a:命令別名下的成員必須是檔案或目錄的絕對路徑
b: 別名名稱包含大寫字母,數字,下劃線,如果是字母都要大寫
c: 乙個別名下有多個成員,成員與成員之間,通過半形","號分割,成員必須是實際存在的。
d: 別名 成員受別名型別 host_alias,user_alias,runas_alias,制約,定義什麼型別的別名,就要有什麼型別的成員相配。
e:別名規則是每行定義算乙個規則,如果乙個別名規則一行放不下時,可以通過"\"來續行
f: 指定切換使用者要用()括號括起來,如果省略括號,則預設為root,如果括號裡面為all,則代表能切換到所有使用者
g 如果不需要密碼直接執行命令的,應該加nopasswd:引數
h 禁止某類程式或命令執行,要在命令動作前面加上"!",並且放在允許執行命令的後面。
i: 使用者組前面必須加%號
使用者許可權集中管理 使用者行為日誌審計管理方案
禁止root使用者ssh登入 vim etc ssh sshd config usedns no permitrootlogin no addressfamily inet syslogfacility authpriv passwordauthentication yes service sshd...
企業生產環境使用者許可權集中管理方案案例
建立中要新增如下的專案經驗 在了解公司業務流程後,提出許可權整改解決方案,改進公司超級使用者root許可權氾濫的問題。我首先寫好方案後,給老大看,取得老大的支援後,召集大家開會討論。討論確定可行後,由我負責推進實施 實施後結果,公司伺服器許可權管理更加清晰了。制定賬號許可權申請流程以及許可權申請 當...
企業生產環境使用者sudo許可權集中管理專案方案案例
級別許可權初級運維 檢視系統資訊,檢視網路狀態 usr bin free,usr bin iostat,usr bin top,bin hostname,sbin ifconfig,bin netstat,sbin route 高階運維 檢視系統資訊,檢視和修改網格配置,程序管理,軟體包管理,儲存管...