标签:
一、服务器用户权限管理改造方案与实施管理
背景:公司的root权限泛滥,需要重新给所有角色定好权限
初级运维
查看系统信息,查看网络状态
/usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route
高级运维
查看系统信息,查看和修改网络配置,进程管理,软件包管理,存储管理
/usr/bin/free,/usr/bin/lostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,
/bin/netstat,/sbin/route,/sbin/iptables,/etc/init.d/network,/bin/nice,/bin/kill,
Usr/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin/yum,
/sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/umount
运维经理
超级用户权限
ALL
初级开发
Root的查看权限,对应服务查看日志的权限
/usr/bin/tail/app/log*,/bin/grep/app/log*,/bin/cat,/bin/ls
高级开发
Root的查看权限,对应服务查看日志的权限,重启对应服务的权限
/sbin/service,/sbin/chkconfig,tail/app/log*,grep/app/log*,/bin/cat,/bin/ls
开发经理
项目所在服务器的ALL权限,不能修改root密码
ALL,/usr/bin/passwd[A-Za-z]*,!/usr/bin/passwd/root,!/usr/sbin/visudo,
最好是需要啥给啥
1.架构师和DBA组用普通用户的权限就可以,如果是高级DBA则和开发经理一样的权限
网络组中初级网络普通用户权限,不加sudo列表
高级网络项目所在数据库服务器的ALL权限
2.创建用户角色,进入visudo进行编辑,各自编好自己所在的组
3.如果语法错误,利用最小化语法检查,就是把不相关的语句注释掉(可能遇到的问题,别名要大写,要用绝对路径,用“\”换行)
4.一切设置好后,su -切换到自己设置的用户中输入sudo -l 查看其权限是不是和自己设置的一样
5.配置sudo命令的日志审计
说明:不记录普通用户的操作,而是记录那些执行sudo命令的操作
a.通过环境变量命令及syslog服务进行日志审计(信息太大)
b.sudo 配合syslog服务,进行日志审计(信息较少,效果不错)
c.在bash解释器程序里嵌入一个监视器,
6. 安装sudo syslog 服务(centos 6.4 为rsyslog 服务)
[root1@localhost ~]$ ll /etc/syslog.conf -rw-r--r-- 1 root root 694 Apr 2 2010 /etc/syslog.conf [root1@localhost ~]$ cat /etc/redhat-release CentOS release 5.8 (Final) [root1@localhost ~]$ echo "local2.debug /var/log/sudo.log">>/etc/syslog.conf -bash: /etc/syslog.conf: Permission denied [root1@localhost ~]$ su - Password: [root@localhost ~]# echo "local2.debug /var/log/sudo.log" >>/etc/syslog.conf [root@localhost ~]# tail -1 /etc/syslog.conf local2.debug /var/log/sudo.log [root@localhost ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers [root@localhost ~]# tail -1 /etc/sudoers Defaults logfile=/var/log/sudo.log [root@localhost ~]# visudo -c /etc/sudoers: parsed OK [root@localhost ~]# /etc/init.d/syslog restart Shutting down kernel logger: [ OK ] Shutting down system logger: [ OK ] Starting system logger: [ OK ] Starting kernel logger: [ OK ] [root@localhost ~]# ll /var/lo local/ lock/ log/ [root@localhost ~]# ll /var/log/sudo.log -rw------- 1 root root 0 Jul 1 06:37 /var/log/sudo.log
7. log里面内容可以通过以下几种方式推动走:
rsync+inotify 或定时任务,推到日志管理服务器上,192.168.111.133——20160701.sudo.log
syslog服务来处理
echo “*.info @logserver”>>/etc/syslog.conf 适合所有日志退走
标签:
原文地址:http://www.cnblogs.com/carltonx/p/5634631.html
