由于各部门员工对Linux的熟悉程度参差不齐,所以经常会产生一些误操作,以至于造成服务器宕机或重要文件的丢失。所以使用权限最小化可以尽可能的降低安全隐患,有利于提高工作效率,降低维护的成本。
具体实现:
根据各个部门的职能,等级,分层次的进行部署,分布实现Linux服务器的权限最小化。进行普及性的sudo的使用培训,使其在两个月到三个月内可以彻底适应这种权限内的操作。
具体实施:
1、首先在各部门的负责人手中获取每位员工涉及到需要使用的权限。
2、根据各部门负责人提供的信息,运维人员给出所需的最小权限。
3、在权限改造项目完成后,根据各部门所反馈的信息,为某些人员添加权限,以达到日常的项目可以正常的进行。
4、在保证工作可以正常运行后,建立权限使用申请表,已提供某些员工临时需要使用一些命令所用。
项目所需知识点详解:
sudo是Linux的系统管理指令,是允许系统管理员让普通用户执行一些或者全部的系命令的工具。我们可以通过使用命令visudo或编辑vim /etc/sudoers这个文件来达到权限限制的目的。
sudo文件讲解:
sudo文件中会提供一个例子: root ALL=(ALL) ALL
用户 机器 谁的权限 使用的权限
这样一个用户一个用户的设置,如果需要加权限的人太多,容易造成遗漏,或一些错误,所以这里建议采用别名的方法。
User_ALIAS ADMINS= 用户名用逗号分隔 还可以使用%加组名 (ADMINS可以根据自己需求进行定义)
Host_Alias FILESERVERS=fs1,fs2
Host_Alias MAILSERVERS=smtp1,smtp2
Cmnd_Alias NETWOEKING=命令的绝对路径
其中sudo配置文件 /etc/sudoers授权规则的注意事项:
1)被授权的所有的ALL字符串必须是大写字母
2)将排除不执行的命令写在后面
例:/usr/sbin/*,/sbin/*,!/usr/sbin/visudo
3)在使用visudo编辑完文件后,最好使用visudo -c进行语法检查,如出现语法错误将造成所有设置失效。所以不建议使用重定向。
原文地址:http://blog.51cto.com/13214087/2117099
