1:需求:
我們希望超級使用者root密碼掌握在少數或唯一的管理者手中,又希望多個系統管理者或相關權限的人員,能夠完成更多更複雜的自身職能的相關工作,又不至于越權操作導緻系統隐患。
最小化: 1)安裝軟體最小化。2)目錄權限最小化。3)使用者權限最小化。4)程式運作權限最小化
2 實作
針對公司不同部門,根據員工職能,分等級分層次的實作對linux伺服器管理的權限最小化,規範化。這樣既減少了運維管理成本,消除了安全隐患,又提高了工作效率,實作了高品質,快速化的完成項目進度,以及日常維護。
3 實施方案
說明:主動發現問題---------=---寫好方案-------------召集大家讨論可行性-----------最後确定方案-----------實施部署----------------總結維護。
4 資訊采集
1.1 : 寫好方案,取得上司支援
1.2: 确定方案後,會議負責人彙總,送出,稽核所有相關員工對Linux伺服器的權限需求。
1.3: 根據需要執行的linux指令程式及公司業務來規劃權限和人員對應配置,實際就是配置sudo配置檔案
1.4: 對權限進行規範化處理,确定權限審批流程
1.5: 寫好操作說明,
5 使用者與權限對應
舉例:
5 模拟使用者
易錯點:
不建議用ALL
6 成功後發郵件通知生效
7 指定權限申請流程表
8 後期維護,一般不是特别緊急的需求,一律走審批流程
sudoers配置規則
a:指令别名下的成員必須是檔案或目錄的絕對路徑
b: 别名名稱包含大寫字母,數字,下劃線,如果是字母都要大寫
c: 一個别名下有多個成員,成員與成員之間,通過半角","号分割,成員必須是實際存在的。
d: 别名 成員受别名類型 Host_Alias,User_Alias,Runas_Alias,制約,定義什麼類型的别名,就要有什麼類型的成員相配。
e:别名規則是每行定義算一個規則,如果一個别名規則一行放不下時,可以通過"\"來續行
f: 指定切換使用者要用()括号括起來,如果省略括号,則預設為root,如果括号裡面為all,則代表能切換到所有使用者
g 如果不需要密碼直接運作指令的,應該加NOPASSWD:參數
h 禁止某類程式或指令執行,要在指令動作前面加上"!",并且放在允許執行指令的後面。
i: 使用者組前面必須加%号