服务器用户权限 sudo 管理

1.问题现状

"面对携程事件，你们公司的服务器权限重新规划了吗？"

1.sudo 权限管理部署

1.1. 项目说明
当前我们公司服务器上百台，各个服务器上的管理人员很多(开发+运维+架构+DBA+产品+市场)，在大家登录使用 linux 服务器时，不同职能的员工水平不同，因此导致操作不规范。root 权限泛滥(几乎大部分人都有 root 权限)，经常导致文件莫名奇妙的丢失，老手和新手对服务器的熟知程度也不同，这样使得公司服务器安全存在很大的不稳定性，及操作的安全性。据调查企业服务器环境，50%以上的安全问题都来自于内部，而不是外部。为了解决以上问题，单个用户权限过大现状，现在提出针对 Linux 服务器用户权限几种管理的解决方案。
项目实施：
1.发现这个情况，撰写文档提交给老大，召集大家开会
2.讨论确定可行之后，由我来推进负责实施
3.实施后，公司的服务器权限管理更加清晰，便于维护管理
4.指定账号权限申请流程以及权限申请表格
具体情况分析：
企业生产环境用户权限几种管理项目方案案列
1.问题现状
当前我们公司服务器上百台，各个服务器上的管理人员很多(开发+运维+架构+DBA+产品+市场)，在大家登录使用 linux 服务器时，不同职能的员工水平不同，因此导致操作不规范。root 权限泛滥(机会大部分人都有 root 权限)，经常导致文件莫名奇妙的丢失，老手和新手对服务器的熟知程度也不同，这样使得公司服务器安全存在很大的不稳定性，及操作的安全性。据调查企业服务器环境，50%以上的安全问题都来自于内部，而不是外部。为了解决以上问题，单个用户权限过大现状，现在提出针对 Linux 服务器用户权限几种管理的解决方案。
2.项目需求
希望超级用户 root 密码掌握在少数或唯一的管理员手中，有希望多个系统管理员或相关权限的人员，能够完成更多复杂的自身职能相关的工作，又不至于越权操作导致系统安全隐患，那么，如何解决多个系统管理员都能管理系统而又不让超级权限泛滥的需求呢？这就需要 sudo 管理来代替或结合 su 命令来完成这样的苛刻且必要的企业服务器用户管理要求。
3.具体实现
针对公司里不同的部门，根据员工的具体工作职能(例如：开发，运维，数据库管理员)分等级、分层次的实现对 linux 服务器管理的权限最小化、规范化。这样减少了运维管理成本，消除了安全隐患，有提高了工作效率，实现了高质量的、快速化的完成项目进度以及日常的系统维护。
4.项目实施
说明：在实施方案之前一定要提交给老大，召集开会讨论部署实施方案的过程，然后总结后期如何维护。
思想：在提出问题之前，一定要想到如何解决，一并发出来解决方案
5.信息的采集( 包含整个方案流程)
1.1 召集相关各部门领导通过会议讨论或是与各组领导沟通确定权限管理方案的可行性。需要支持的人员：运维经理或总监、CTO 支持、各部门组的领导。作为运维人员，需要取得大佬们的支持和认可，才是项目能够得以实施的前提。
1.2 确定方案可行性后，会议负责人汇总、提交、审核所有相关员工对 Linux 服务器权限需求。取得大佬们的支持后，通过发送邮件或者联系相关人员取得需要的相关员工权限信息。比如说，请各个部门经理整理归类本部门需要登陆 linux 权限的人员名单、职位、及负责的业务及权限，如果说不清楚权限细节，就说负责业务细节，这样运维人员就可以确定需要什么权限。
1.3 按照需要执行的 linux 命令程序以及公司业务服务来规划权限和人员对应配置主要是运维人员根据上面收集的人员名单，需要的业务及权限角色，对应账号配置权限，实际就是配置 sudo 配置文件。
1.4 权限方案一旦实施后，所有员工必须通过《员工 Linux 服务器管理权限申请表》来申请对应的权限，确定审批流程，规范化管理。这里实施后把持住权限申请流程很重要，否则，大家不听话实施方案也可能会泡汤。
1.5 写好操作说明，对各部门人员进行操作讲解。sudo 执行命令，实际到 PATH 变量问题，运维提前处理好。
2.收集员工职能对应权限
此过程是召集大家开会确定，或者请各组领导安排人员进行统计汇总，人员及对应的工作职责，交给运维人员，由运维人员优化职位对应的系统权限。

2.1 模拟创建用户角色

1)建立 3 个初级运维，一个高级运维，一个网络工程师，一个运维经理，密码统一是 123456

for user in chuji001 chuji002 chuji003 senior001 net001 manager001
do
useradd $user
echo "123456"|passwd --stdin $user
done

待续……

转载于:https://www.cnblogs.com/wang100861/p/7010307.html