useradd -g -u -c -s -d -G -M -D改变默认属性
userdel -r
usermod
groupadd
groupdel
passwd --stdin
chage 修改密码过期属性的 -l -E
su - -c 执行完退回来
sudo 普通用户可以拥有root的权限
visudo
newgrp
id
w who last lastlog whoami finger
服务器用户权限管理改造方案与实施项目
最小化:安装软件 权限 (目录 目录文件) 用户权限 程序运行权限
提出问题,写好方案,讨论可行性,最后确定方案,实施部署,总结维护
解决方案 规划文档
态度
说服别人
可行性 汇总 提交 审核
流程 规范化管理
for user in aaa bbb ccc
do
useradd $user
echo "123123" | passwd --stdin $user > /dev/null 2>&1
done
sudo
别名大写 命令全路径 超过一个行的 \ 换行
sudo -l
培训 讲解 文档
白名单机智
绝对路径 字母大写 , 别名类型 ALL=() 默认root (ALL)所有用户
%用户组 !命令 禁止命令
日志审计项目
suo命令日志 记录执行sudo命令的操作
# rpm -aq | egrep "sudo|rsyslog"
sudo-1.8.6p3-12.el6.x86_64
rsyslog-5.8.10-8.el6.x86_64
# echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers
[root@localhost ~]# visudo -c
/etc/sudoers:解析正确
# echo "local2.debug /var/log/sudo.log">> /etc/rsyslog.conf
# /etc/init.d/rsyslog restart
# ll /var/log/sudo.log
-rw------- 1 root root 0 3月 27 20:45 /var/log/sudo.log
记录sudo
rsync+inotify rsyslog
日志收集解决方案
scribe Flume storm kibanan logstash
