最近忙的晕头转向,文章写得也乱。今天整理下思路。
开通最少的服务,给与用户最小的权限。这条安全法则几乎应该是人人皆知。能做到的有多少,那就不知道了。
不过,在安全要求越来越高的时代,学会给用户设置最小化权限,可能对你完成公司给与的越来越严苛的要求大有帮助。
下面只是借助一个例子讲一个思路,抛砖引玉。
案例要求:
给linux系统开通一个账户用于审计。审计用户可以查看审计日志内容,编辑审计日志(修改或删除数据),暂停或开启审计服务。审计日志文件:/var/log/audit/audit.log,改文件属主和组为root,其他用户不可访问。审计服务管理脚本:/etc/init.d/auditd
如上图所示,普通用户对日志文件无法访问。root用户可以访问。
如果想授权给一个普通用户读取和编辑这个文件的权限。我们知道,可以在sudoers内设置该用户以root身份执行vim权限。
这样用户可以通过“sudo vim /var/log/audit/audit.log”方式