标签:普通用户 配置 4.4 项目 改进 员工 dial groupadd client
服务器用户权限管理改造方案与实施项目
公司服务器管理人员多,(开发+运维+架构+DBA+产品+市场),使用Linux服务器时,不同职能的员工操作不规范,root权限泛滥
既希望超级用户root密码掌握在少数或者唯一的管理员手中,又希望多个系统管理员有相关权限
4.1.1 召集相关各部门领导通过会议讨论或是与各组领导沟通确定权限方案的可行性
需要支持人员:运维经理、CTO支持、各组的领导。我们作为运维人员,拿着类似老师给大家讲解的这个文档,通过会议形式做演讲,慷慨激昂的演说,取得大佬们的支持
4.1.2 汇总、提交、审核所有相关员工对Linux服务器的权限需求
取得大佬们的支持后,通过发邮件或者联系相关人员取得需要的信息。比如说,让各个部门的经理整理归类本部门需要权限的人员名单、职位及对应的业务及权限
4.1.3 按照linux命令及服务规划权限
主要是运维人员根据上面手机的名单,对应账号配置权限
4.1.4 权限方案实施后,所有员工必须通过《员工Linux服务器管理权限申请表》来申请对应的权限,确定审批流程,规范化管理。
1)初级运维3名
权限分配:普通用户的权限,所管理的服务器的ALL权限,但是排除一些危害及切换root的权限
Cmnd_Alias C_CMD_1 = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root, !/sbin/fdisk, !/sbin/parted, !/bin/rm, !/bin/su, !/usr/sbin/visudo, !/usr/bin/vi * *sudo*, !/bin/vi*sudo* |
2) 运维经理和高级运维:各一名
权限分配:普通用户的权限,所管辖的服务器的ALL权限
4) 网络工程师:1名
权限分配:普通用户的权限,查看网络配置,并排除故障的权限
Cmnd_Alias N_CMD_1 = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool, /bin/cat, /var/log/* |
5) 普通开发:10名
权限分配:普通用户的权限,对应服务的查看日志的权限,重启对应服务权限
大公司:项目负责制的规定
Cmnd_Alias P_CMD_1 = /bin/cat ~/log/*, /bin/cat /var/log/message, /bin/cat /app/log/*, /bin/sh / ~/scripts/deploy.sh |
建立3个初级运维,一个网络工程师,一个运维经理,一个高级运维经理的用户,密码是111111
for user in chuji001 chuji002 chuji003 net001 senior001 manager001 do useradd $user echo “111111” | passwd --stdin $user done |
建立10个开发人员,属于phpers组
groupadd -g 999 phpers for n in `seq 10` do useradd -g phpers php00$n done |
事先要备份/etc/sudoers文件,cp /etc/sudoers /etc/sudoers.ori
##Cmnd_Alias by oldboy##2012 Cmnd_Alias C_CMD_1 = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root, !/sbin/fdisk, !/sbin/parted, !/bin/rm, !/bin/su, !/usr/sbin/visudo, !/usr/bin/vi * *sudo*, !/bin/vi*sudo*
Cmnd_Alias N_CMD_1 = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool, /bin/cat, /var/log/*
Cmnd_Alias P_CMD_1 = /bin/cat ~/log/*, /bin/cat /var/log/message, /bin/cat /app/log/*, /bin/sh / ~/scripts/deploy.sh ## User_Alias by oldboy###2012 User_Alias ADMINS = senior001, manager01 User_Alias CHUJIADMINS = chuji001, chuji002, chuji003 User_Alias NETADMINS = net001 User_Alias PROGRAMERS = %phpers
##Runas_Alias by oldboy##2012/11/30 Runas_Alias SUUSER = root
#pri config ADMINS ALL=(ALL) NOPASSWD:ALL CHUJIADMINS ALL=(SUUSER) NOPASSWD:ALL,C_CMD_1 NETADMINS ALL=(SUUSER) NOPASSWD:N_CMD_1 |
PROGRAMERS ALL=(SUUSER) NOPASSWD:P_CMD_1
|
Linux课程笔记 Linux系统集权分治管理sudoer配置案例
标签:普通用户 配置 4.4 项目 改进 员工 dial groupadd client
原文地址:http://www.cnblogs.com/fengze/p/6752465.html