等保3.0-服务器三权分立配置

【背景】
等保3.0要求，需要针对系统做好三权分立。下面用对三权分立的理解：配置、授权、审计。这3个方面，做一下服务器用户的三权分立控制，供大家参考。

一【用户】
1.系统管理员
功能：操作系统安装、配置，应用安装等
2.审计管理员
功能：日志审计，上网行为管理等
3.安全管理员
功能：入侵检测、防病毒、势态感知、漏洞扫描等

二【配置操作】

1.系统管理员：
用户：user1
统一系统管理员账号: user1
根据自己的应用路径配置权限。
例如：应用路径配置：/opt/app/
#添加用户：
useradd -d /opt/app user1
passwd user1
usermod -G user1 user1

#将目录/opt/app/ 及其下面的所有文件、子目录的文件主 改成user1 和user1组
chown -R user1:user1 /opt/app/

#给目录 设置权限
chmod 770 /opt/app/

2.审计管理员
useradd shenji
passwd shenji

#修改审计账号权限只具备查看功能
vi /etc/sudoers

shenji ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

#限制审计管理员只允许访问/var/log
chown -R shenji:shenji /var/log
chmod 700 /var/log

3.安全管理员
useradd -d /etc anquan
passwd anquan

##强烈注意，不要随意调整/etc 的权限，容易产生系统问题

##注意事项
/etc/sudoers 必须为root,且chmod 为0440，若随意调整，会导致用户无法正常使用sudo命令

-r–r----- 1 root root 755 Feb 3 2020 sudoers
dr–r----- 2 root root 4096 Apr 25 06:40 sudoers.d/
-r–r----- 1 root root 755 Feb 3 2020 sudoers.tmp