学习记录009-用户权限改造方案

Posted 2020-08-02

一、服务器用户权限管理改造方案与实施管理

背景：公司的root权限泛滥，需要重新给所有角色定好权限

初级运维
查看系统信息，查看网络状态
/usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route
高级运维
查看系统信息，查看和修改网络配置，进程管理，软件包管理，存储管理
/usr/bin/free,/usr/bin/lostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,
/bin/netstat,/sbin/route,/sbin/iptables,/etc/init.d/network,/bin/nice,/bin/kill,
Usr/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin/yum,
/sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/umount
运维经理
超级用户权限
ALL

初级开发
Root的查看权限，对应服务查看日志的权限
/usr/bin/tail/app/log*,/bin/grep/app/log*,/bin/cat,/bin/ls
高级开发
Root的查看权限，对应服务查看日志的权限，重启对应服务的权限
/sbin/service,/sbin/chkconfig,tail/app/log*,grep/app/log*,/bin/cat,/bin/ls
开发经理
项目所在服务器的ALL权限，不能修改root密码
ALL,/usr/bin/passwd[A-Za-z]*,!/usr/bin/passwd/root，!/usr/sbin/visudo,
最好是需要啥给啥

1.架构师和DBA组用普通用户的权限就可以，如果是高级DBA则和开发经理一样的权限
网络组中初级网络普通用户权限，不加sudo列表
高级网络项目所在数据库服务器的ALL权限

 

2.创建用户角色，进入visudo进行编辑，各自编好自己所在的组

 

3.如果语法错误，利用最小化语法检查，就是把不相关的语句注释掉（可能遇到的问题，别名要大写，要用绝对路径，用“\”换行）

 

4.一切设置好后，su -切换到自己设置的用户中输入sudo -l 查看其权限是不是和自己设置的一样

 

5.配置sudo命令的日志审计

说明：不记录普通用户的操作，而是记录那些执行sudo命令的操作
a.通过环境变量命令及syslog服务进行日志审计（信息太大）

b.sudo 配合syslog服务，进行日志审计（信息较少，效果不错）

c.在bash解释器程序里嵌入一个监视器，

 6.  安装sudo syslog 服务（centos 6.4 为rsyslog 服务）

 

[[email protected] ~]$ ll /etc/syslog.conf
-rw-r--r-- 1 root root 694 Apr 2 2010 /etc/syslog.conf
[[email protected] ~]$ cat /etc/redhat-release
CentOS release 5.8 (Final)
[[email protected] ~]$ echo "local2.debug /var/log/sudo.log">>/etc/syslog.conf
-bash: /etc/syslog.conf: Permission denied
[[email protected] ~]$ su -
Password:
[[email protected] ~]# echo "local2.debug /var/log/sudo.log" >>/etc/syslog.conf
[[email protected] ~]# tail -1 /etc/syslog.conf
local2.debug /var/log/sudo.log
[[email protected] ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
[[email protected] ~]# tail -1 /etc/sudoers
Defaults logfile=/var/log/sudo.log
[[email protected] ~]# visudo -c
/etc/sudoers: parsed OK
[[email protected] ~]# /etc/init.d/syslog restart
Shutting down kernel logger: [ OK ]
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
Starting kernel logger: [ OK ]
[[email protected] ~]# ll /var/lo
local/ lock/ log/
[[email protected] ~]# ll /var/log/sudo.log
-rw------- 1 root root 0 Jul 1 06:37 /var/log/sudo.log

　　

7. log里面内容可以通过以下几种方式推动走：

   rsync+inotify 或定时任务，推到日志管理服务器上，192.168.111.133——20160701.sudo.log
   syslog服务来处理
   echo “*.info @logserver”>>/etc/syslog.conf 适合所有日志退走