来源: GPT
在CentOS系统中,创建系统管理员、 安全管理员和审计管理员账户并分配相应权限的步骤如下:
1. 创建用户账户:
首先我们要创建三个用户账户:xitongadmin
、aqadmin
、sjadmin
。
sudo useradd xitongadmin
sudo passwd xitongadmin
sudo useradd aqadmin
sudo passwd aqadmin
sudo useradd sjadmin
sudo passwd sjadmin
在上述命令中,您会需要为每个用户设置密码。
2. 分配系统管理员权限:
系统管理员通常需要有sudo权限,可以编辑/etc/sudoers
文件或者用visudo
工具来安全地编辑该文件。
sudo visudo
在visudo
编辑器中,添加以下行以授予系统管理员全权限:
xitongadmin ALL=(ALL) ALL
3. 安全管理员权限:
安全管理员通常会管理系统的安全策略、配置防火墙等。一般不需要所有的sudo权限,但需要特定命令的执行权限。可以通过编辑/etc/sudoers
文件来赋予这些权限。
例如,您可以授予aqadmin
权限来管理防火墙规则和SELinux:
sudo visudo
添加以下行:
aqadmin ALL=(ALL) /usr/sbin/iptables, /usr/sbin/semanage, /usr/sbin/setsebool, /usr/sbin/restorecon, /usr/bin/firewall-cmd
这里的命令路径根据您实际情况可能有所不同,您可以添加更多必要的命令。
4. 审计管理员权限:
审计管理员主要负责查看系统日志和审计信息。需要访问日志文件,可以使用以下步骤来赋予这些权限。
首先创建一个新的用户组,比如audit
:
sudo groupadd audit
将sjadmin
用户添加到该组:
sudo usermod -aG audit sjadmin
修改关键日志文件和目录的权限,以便audit
组有读取权限:
sudo chgrp audit /var/log/audit/audit.log
sudo chmod 0640 /var/log/audit/audit.log
或者,您可以设置在sudo者文件中增加特定的审计命令权限:
sudo visudo
添加以下行:
sjadmin ALL=(ALL) /usr/sbin/ausearch, /usr/sbin/aureport, /usr/bin/journalctl, /bin/cat /var/log/*
这样sjadmin
用户就有权限访问需审计的日志文件以及使用审计命令。
结束:
以上步骤完成后,您已经在CentOS系统中创建了三个管理员账户,并相应地分配了权限。请记住在生产环境中分配权限时,遵循最小权限原则,避免授予过多权限。