三权分立策略
"建议创建管理、操作、审计三类独立权限账号,支持三权分立机制。参考配置:
管理账号(root):拥有所有操作权限;
普通账号:具有基本操作权限;
审计账号:对各类日志及文件仅具有查看权限。
1.root账号安装时产生;
2.普通账号创建
useradd 账号名 #创建账号
passwd 密码 #设置密码
注:普通账号权限具体需要根据实际需求设置,一般已有的权限可以满足需求(通过sudo授权控制权限)。
3.审计账号:审计账号仅用于审计功能,其权限可在普通账号基础上进行修改。
1)创建审计账号(方法同普通账号);
2)修改审计账号权限使其仅具有查看功能:
setfacl -m u:账号名:rx 目录或文件绝对路径 #设置权限控制
3)给审计账号授权,修改/etc/sudoers文件,在文件最下边添加如下内容
账号名 ALL = (root) NOPASSWD: /usr/bin/cat,/usr/bin/less,/usr/bin/more,/usr/bin/tail,/usr/bin/head"
不符合,未建立审计、运维账号
整改-----------------------------------
一、系统管理员
(1)创建系统管理员(sys用户)并设置密码
useradd sys passwd sys
(2)创建组并将用户添加到组(/var是要给用户权限访问的路径),并设置目录权限。注:这一步骤需要根据业务来确定是否配置以及配置的内容。
groupadd sysgroup usermod -G sysgroup sys chown -R sys:sysgroup /var chmod 741 /var
二、审计管理员
(1)创建用户
添加用户 useradd userlog passwd userlog
(2)设置shenji用户只有sudo的查看权限
修改/etc/sudoers文件,注意这里要用visudo编辑 为审计用户添加查看的权限,添加内容如下 visudo /etc/sudoers userlog ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head
其中,userlog ALL = (ALL) 表示shenji用户在免密的情况下sudo使用查看文件的命令。
##如果是所有sudo命令的话,可以把命令改为:
userlog ALL = (ALL) NOPASSWD: ALL
(3)设置只能shenji用户访问/var/log,配置目录权限 注:这一步骤需要根据业务来确定是否配置以及配置的内容。
给目录设置权限# 700表示只允许自己访问,不允许其他用户访问 chown -R userlog:userlog /var/log chmod 700 /var/log
三、安全管理员
(1)创建用户并指定登录的起始目录
[root@localhost ~]# useradd -d /etc anquan [root@localhost ~]# passwd anquan
(2)只允许anquan用户访问/etc,设置目录权限 注:这一步骤需要根据业务来确定是否配置以及配置的内容。
[root@localhost ~]# chown -R anquan:anquan /etc [root@localhost ~]# chmod 700 /etc
