②权限规划(sudo)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了②权限规划(sudo)相关的知识,希望对你有一定的参考价值。

权限规划(sudo)

起草人:陈泰成

时间:2017年8月12日

一 问题简述

随着公司的服务器越来越多,人员流动性也开始与日俱增,以往管理服务器的陈旧思想(root权限随意给出,开发、测试、运维共用同一账号)应当摒弃,公司需要有更好更完善的权限体系,经过多轮沟通和协商,公司一致决定重新整理规划权限体系。运维主管明确指出权限存在的问题,并需要解决以往的root权限泛滥问题。

我作为本次权限规划的发起人,我首先了解到公司服务器权限现状后,经过多次与相关员工及领导沟通,确认了公司存在的部分问题:运维部基本入职离职流程中存在一些账号问题,如:离职不报备,系统权限不回收、账号密码过于简单化等。root权限随意给开发及测试。

以上问题无疑给公司的服务器及数据安全造成了不小的隐患。因此下文将详解此次关于权限划分的方案。

公司有多个部门使用我们提供的linux服务器以及开通的账号:安全权限没有进行合理规划,因此我提出更加安全的账号管理方式:①领用账号权限流程,②命令执行以sudo授权形式。


优势: 它可以对账号进行详细的权限分层划分,给服务器带来了更好的安全保障,公司有级别不同的运维人员,我们需要对其权限整理划分,根据职责能力我们规划权限为初级、中级、高级。而其他部门,如开发、测试等部门采取服务器账号权限流程。这样有利于权限最小化控制,避免因权限滥用导致服务运行不稳定,配置随意修改,不规范操作等安全隐患。为后续日志审计等溯源,分析奠定基础。

二 权限规划表及技术人员配备情况

1.权限规划表

①运维组权限规划表

级别

权限

初级运维

查看系统、网络、服务、进程状态信息:

/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route,/sbin/ip,/bin/ping,/usr/bin/sar,/usr/bin/free,   /usr/bin/vmstat,/usr/bin/mpstat,/usr/bin/iostat,/usr/sbin/iotop,/usr/bin/top,/bin/ps

高级运维

查看和修改系统、网格、服务、进程状态配置信息,软件包管理,存储管理

/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route,/sbin/ip,/usr/bin/sar,/usr/bin/free, /usr/bin/vmstat,/usr/bin/mpstat,/usr/bin/iostat,/usr/sbin/iotop,/usr/bin/top,/bin/ps,/sbin/iptables,/etc/init.d/network,/bin/nice,/bin/kill,/usr/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/umount

运维经理

超级用户所有权限
 
ALL

 

②开发组权限模板

级别

权限

初级开发

root的查看权限,对应服务查看日志的权限
  /usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls

高级开发

root的查看权限,对应服务查看日志的权限,重启对应服务的权限
/sbin/service,/sbin/chkconfig,/usr/bin/tail /app/log*,
/bin/grep   /app/log*,/bin/cat,/bin/ls, /bin/sh ~/scripts/deploy.sh

开发经理

项目所在服务器的ALL权限,不能修改root密码
  ALL,!/usr/bin/passwd root,
!/usr/sbin/visudo,!/usr/bin/vim   /etc/sudoers

 

③测试组权限模板

级别

权限

测试

普通用户的权限

不加入sudo列表

 

④DBA组权限模板

级别

权限

初级DBA

普通用户的权限

不加入sudo列表

高级DBA

项目所在数据库服务器的ALL权限
  ALL,!/usr/bin/passwd root,!/usr/sbin/visudo,!/usr/bin/vim   /etc/sudoers

 

⑤网络组权限模板

级别

权限

初级网工

普通用户的权限

不加入sudo列表

高级网工

项目所在服务器的有关网络配置的权限
  /sbin/route,/sbin/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/ip,/sbin/iptables,/usr/bin/rfcomm,/usr/bin/wvdial,/sbin/iwconfig,/sbin/mii-tool,/bin/cat /var/log/*,/usr/bin/vim   /etc/sysconfig/network-scripts/*

 

2.公司目前的技术人员配备情况

运维组:5个初级运维,2个高级运维,1个运维经理

开发组:3个初级开发人员,1个高级开发,1个开发经理

测试组:2个测试工程师(测试组不加入sudo)

DBA组:3个初级DBA(初级DBA不加入sudo),1个高级DBA

网络组:2个初级网工(初级DBA不加入sudo),1个高级网工

 

 

三 命令讲解

创建用户

useradd yw && echo "123456" | passwd --stdin yw

创建yw用户,然后输出一个123456交passwd作为yw用户的密码

 

for n in `seq 21 25`;do useradd user$n;echo "user$n`echo user$n|md5sum|cut -c4-8`"|passwd --stdin user$n;done

用for循环来创建用户账号和密码: seq 21 25创建5个数字(21,22,23,24,25),n 就代表这5个数字,后面的创建用户接着user$n就是以user开头接n,

然后 echo 输出用户名的md5,使用cut 取出4-8块的字符交给passwd --stdin来为每位用户配置不同的密码,他们的密码都是用户名的md5值的4至8位字符串。

 

删除用户

userdel yw

删除yw用户

 

for n in `seq 21 25`;do userdel -r user$n;done

用for循环删除用户

 

查看自己的sudo权限:sudo -l

 

……

……

 

四 实施命令脚本

举例:在公司时根据实际情况编写用户账号密码及相应权限,此处根据上述权限规划表为例。

1.创建用户组和用户:

#运维组、开发组、测试组、DBA组、网络组

groupadd chujiyunwei -g 1100

groupadd gaojiyunwei -g 1110

groupadd yunweijingli -g 1120

 

groupadd chujikaifa -g 1200

groupadd gaojikaifa -g 1210

groupadd kaifajingli -g 1220

 

groupadd ceshi -g 1300

 

groupadd chujidba -g 1400

groupadd gaojidba -g 1410

 

groupadd chujinetwork -g 1500

groupadd gaojinetwork -g 1510

 

#-----------------------------------------------------------------------------

#运维组:5个初级运维,2个高级运维,1个运维经理 

#-----------------------------------------------------------------------------

for n in `seq 1 5`;do useradd chujiyunwei$n -g 1100;echo "123456" | passwd --stdin chuji$n;done

#创建5个初级运维账户并配置了密码 

for n in `seq 1 2`;do useradd gaojiyunwei$n -g 1110;echo "123456" | passwd --stdin gaoji$n;done

#创建2个高级运维的用户和密码

useradd yunweijingli -g 1120 && echo 123456 | passwd --stdin yunweijingli

#创建1个运维经理的账号和密码 

 

#-----------------------------------------------------------------------------

#开发组:3个初级开发人员,1个高级开发,1个开发经理

#-----------------------------------------------------------------------------

for n in `seq 1 3`;do useradd chujikaifa$n -g 1200;echo "123456" | passwd --stdin chujikaifa$n;done

#创建3个初级开发账户并配置了密码 

useradd gaojikaifa1 -g 1210 && echo "123456" | passwd --stdin gaojikaifa1

#创建1个高级开发的用户和密码 

useradd kaifajingli -g 1220 && echo 123456 | passwd --stdin kaifajingli

#创建1个开发经理的账号和密码 

 

#-----------------------------------------------------------------------------

#测试组:2个测试

#-----------------------------------------------------------------------------

for n in `seq 1 2`;do useradd ceshi$n -g 1300;echo "123456" | passwd --stdin ceshi$n;done

#创建2个测试账号和密码 

 

#-----------------------------------------------------------------------------

#DBA组:3个初级DBA,1个高级DBA

#-----------------------------------------------------------------------------

for n in `seq 1 3`;do useradd chujidba$n -g 1400;echo "123456" | passwd --stdin chujidba$n;done

#创建3个初级dba 账号和密码 

useradd gaojidba1 -g 1410&& echo 123456 | passwd --stdin gaojidba1

#创建1个高级dba账号和密码 

 

#-----------------------------------------------------------------------------

#网工组:2个初级网工,1个高级网工

#-----------------------------------------------------------------------------

for n in `seq 1 2`;do useradd chujinetwork$n -g 1500;echo "123456" | passwd --stdin chujinetwork$n;done

#创建2个初级网工 

useradd gaojinetwork1 -g 1510 && echo 123456 | passwd --stdin gaojinetwork1

#创建1个高级网工 

 

2.配置/etc/sudoers文件

cat >>/etc/sudoers<<EOF

 

#配置用户组别名: 

User_Alias CHUJIYUNWEI = %chujiyunwei

User_Alias GAOJIYUNWEI = %gaojiyunwei

User_Alias YUNWEIJINGLI = %yunweijingli

 

User_Alias CHUJIKAIFA = %chujikaifa

User_Alias GAOJIKAIFA = %gaojikaifa

User_Alias KAIFAJINGLI = %kaifajingli

 

User_Alias CESHI= %ceshi

 

User_Alias CHUJIDBA = %chujidba

User_Alias GAOJIDBA = %gaojidba

 

User_Alias CHUJINETWORK = %chujinetwork

User_Alias GAOJINETWORK = %gaojinetwork

 

 

#配置命令别名:

Cmnd_Alias CHUJIYUNWEI_CMD =  /bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route,/sbin/ip,/bin/ping,/usr/bin/sar,/usr/bin/free, /usr/bin/vmstat,/usr/bin/mpstat,/usr/bin/iostat,/usr/sbin/iotop,/usr/bin/top,/bin/ps

Cmnd_Alias GAOJIYUNWEI_CMD =  /bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route,/sbin/ip,/usr/bin/sar,/usr/bin/free,/usr/bin/vmstat,/usr/bin/mpstat,/usr/bin/iostat,/usr/sbin/iotop,/usr/bin/top,/bin/ps,/sbin/iptables,/etc/init.d/network,/bin/nice,/bin/kill,/usr/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/umount

Cmnd_Alias YUNWEIJINGLI_CMD =  ALL

 

Cmnd_Alias CHUJIKAIFA_CMD =  /usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls

Cmnd_Alias GAOJIKAIFA_CMD =  /sbin/service,/sbin/chkconfig,/usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls, /bin/sh ~/scripts/deploy.sh

Cmnd_Alias KAIFAJINGLI_CMD =  ALL,!/usr/bin/passwd root,!/usr/sbin/visudo,!/usr/bin/vim /etc/sudoers

 

Cmnd_Alias CESHI_CMD =  /usr/bin/uname

 

 

Cmnd_Alias CHUJIDBA_CMD =  /usr/bin/uname

Cmnd_Alias GAOJIDBA_CMD =  ALL,!/usr/bin/passwd root,!/usr/sbin/visudo,!/usr/bin/vim /etc/sudoers

 

Cmnd_Alias CHUJINETWORK_CMD =  /usr/bin/uname

Cmnd_Alias GAOJINETWORK_CMD =  /sbin/route,/sbin/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/ip,/sbin/iptables,/usr/bin/rfcomm,/usr/bin/wvdial,/sbin/iwconfig,/sbin/mii-tool,/bin/cat /var/log/*,/usr/bin/vim /etc/sysconfig/network-scripts/*

 

#用户组能获取到的权限

Runas_Alias CHUJIYUNWEI = root

Runas_Alias GAOJIYUNWEI = root

Runas_Alias YUNWEIJINGLI = root

 

Runas_Alias CHUJIKAIFA = root

Runas_Alias GAOJIKAIFA = root

Runas_Alias KAIFAJINGLI = root

 

Runas_Alias CESHI = root

 

Runas_Alias CHUJIDBA = root

Runas_Alias GAOJIDBA = root

 

Runas_Alias CHUJINETWORK = root

Runas_Alias GAOJINETWORK = root

 

 

#用户组权限对应关系

CHUJIYUNWEI ALL=(CHUJIYUNWEI) CHUJIYUNWEI_CMD

GAOJIYUNWEI ALL=(GAOJIYUNWEI) GAOJIYUNWEI_CMD

YUNWEIJINGLI ALL=(YUNWEIJINGLI) YUNWEIJINGLI_CMD

 

CHUJIKAIFA ALL=(CHUJIKAIFA) CHUJIKAIFA_CMD

GAOJIKAIFA ALL=(GAOJIKAIFA) GAOJIKAIFA_CMD

KAIFAJINGLI ALL=(KAIFAJINGLI) KAIFAJINGLI_CMD

 

CESHI ALL=(CESHI) CESHI_CMD

 

CHUJIDBA ALL=(CHUJIDBA) CHUJIDBA_CMD

GAOJIDBA ALL=(GAOJIDBA) GAOJIDBA_CMD

 

CHUJINETWORK ALL=(CHUJINETWORK) CHUJINETWORK_CMD

GAOJINETWORK ALL=(GAOJINETWORK) GAOJINETWORK_CMD

EOF

 

五 权限领用流程

1.   领用流程

① 领用人发起权限领用流程,填写权限配置变更申请表,交由运维人员审核。

② 运维人员审核没有问题告知运维主管,由运维主管开放权限。

2.配置更变申请表

 

配置变更申请表


*以下申请部门填写 


填表日期: 

         


申请部门




联系方式



申请测试日期

  

申请实施日期

  年 月 日


实施部门



实施联系人


联系方式



变更目的

 


变更内容:(如内容较多,请另附页说明)

 


申请部门

  

一般变更    重大变更    紧急变更  

 

 


签章:                  日期:             


*以下为运维单位填写 


运维单位

  

      一般变更    重大变更    紧急变更  

 

 


同意申请实施日期     请在以下日期执行:     年  月  日


签章:                  日期:             


*以下为实施人填写 


运维单位

处理结果



签章:                  日期:             


  注: 1、该申请需附带需求报告、开发及变更计划、变更方案操作步骤详解、用户测试报告、源代码或脚本等的纸质文件,及操作所涉及到的电子文件用以存档。

  2、变更方案需包括变更步骤详解、变更成功标志、回滚方案等。


以上是关于②权限规划(sudo)的主要内容,如果未能解决你的问题,请参考以下文章

Linux运维--企业sudo权限规划详解 (实测一个堆命令搞定)

算法动态规划 ② ( 动态规划四要素 | 动态规划状态 State | 动态规划初始化 Initialize | 动态规划方程 Function | 动态规划答案 Answer )

算法动态规划 ② ( 动态规划四要素 | 动态规划状态 State | 动态规划初始化 Initialize | 动态规划方程 Function | 动态规划答案 Answer )

软考 系统架构设计师计算机网络② 网络规划与设计

企业标准化运维权限管理实施方案

中小型局域网规划实战案例