服务器未授予不同账户为完成各自承担任务所需的最小权限,未实现管理员账户的权限分离。

于 2024-05-18 09:48:02 发布
阅读量273 收藏 4
点赞数 2
分类专栏: 服务器配置 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014196765/article/details/139019031
版权
服务器未授予不同账户为完成各自承担任务所需的最小权限,未实现管理员账户的权限分离。建议对管理用户进行权限分离,仅授予所需最小权限,建立三个管理员用户,系统管理员只能对系统进行维护、安全管理员只能进行处理配置和安全设置、安全审计员只能维护审计信息等。

解决方案

在 CentOS 系统中,您可以通过创建不同的用户组和用户,并为这些用户分配最小权限来实现权限分离。以下是一个示例,展示如何创建三个不同的管理员用户,并为他们分配特定的权限:

  1. 创建用户组: 首先,创建三个用户组:sysadminsecadminauditadmin

    sudo groupadd sysadmin
sudo groupadd secadmin
sudo groupadd auditadmin

  2. 创建用户并分配到相应的组: 创建三个用户,并将他们添加到相应的组中。

    sudo useradd -G sysadmin sysadmin_user
sudo useradd -G secadmin secadmin_user
sudo useradd -G auditadmin auditadmin_user

  3. 设置用户密码: 为每个用户设置密码。

    sudo passwd sysadmin_user
sudo passwd secadmin_user
sudo passwd auditadmin_user

  4. 配置 sudo 权限: 使用 visudo 命令编辑 /etc/sudoers 文件,为每个组分配特定的权限。

    sudo visudo

    visudo 编辑器中,添加以下内容:

    # 系统管理员组
%sysadmin ALL=(ALL) NOPASSWD: /usr/bin/yum, /usr/bin/systemctl, /usr/bin/journalctl

# 安全管理员组
%secadmin ALL=(ALL) NOPASSWD: /usr/bin/firewall-cmd, /usr/sbin/iptables, /usr/bin/semanage, /usr/bin/setsebool

# 安全审计员组
%auditadmin ALL=(ALL) NOPASSWD: /usr/bin/auditctl, /usr/sbin/ausearch, /usr/sbin/aureport

    以上配置示例中:

    • sysadmin 组的用户可以使用 yumsystemctljournalctl 命令。
    • secadmin 组的用户可以使用 firewall-cmdiptablessemanagesetsebool 命令。
    • auditadmin 组的用户可以使用 auditctlausearchaureport 命令。

  5. 验证配置: 切换到每个用户并验证他们的权限。

    su - sysadmin_user
sudo yum update
sudo systemctl status
sudo journalctl -xe

su - secadmin_user
sudo firewall-cmd --state
sudo iptables -L
sudo semanage boolean -l

su - auditadmin_user
sudo auditctl -s
sudo ausearch -m avc
sudo aureport -au

通过以上步骤,您可以在 CentOS 系统中实现管理员账户的权限分离,并确保每个管理员用户仅拥有完成其任务所需的最小权限。

关注下面公众号,回复微信,可定制服务器一键配置.sh,节省配置服务器时间。

小~小
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
关于windows(三员)三权分立
qq_47921662的博客
07-11 7943
本文仅仅简单介绍了windows的三权(员)角色划分及配置示例,对应不同的职责,由相关人员担任,以相应权限管理员账号登录系统来完成各项工作。
等保三级安全加固,服务器三权分立设置,mysql密码策略登录策略
莎拉拉吗酷奇的博客
04-20 4541
等保三级mysql和centos7整改。 服务器三权分立设置。mysql数据库密码和登录策略设置等
centos 账户权限管理
最新发布
qq_59726553的博客
02-29 1651
centos 账户管理用户创建、删除、修改,用户组创建、修改、添加成员,文件权限的修改。
审计和监控的不足:缺乏有效的访问审计和监控,难以追踪授权的访问或操作
图幻未来的博客
02-16 242
本文旨在深入探究这些问题并提出相应的解决思路。根据自身实际情况选择合适的投资方向并进行相应的技术升级和设备更换以便更好地应对内外部安全风险挑战实现安全防护水平的提升和企业业务发展的持续稳定增长。建立一个以数据保护为主导的部门专门负责企业内部的数据安全与风险评估等工作并将该部门的职责与其他相关部门紧密配合以提高工作的效率和准确性。通过科学合理的资源配置方法将有限的财务与技术资源投入到优先级最高的部分中去比如对于高风险区域加大监控力度增加设备部署和提升技术支持团队的专业素质等等手段来解决资金和资源紧张的状况。
代码管理要责任到位
求索
03-31 2751
为什么我们在考虑代码管理的时候会担心影响程序员的积极性?精英化的团队是不是能完全解决代码质量的问题? 战功文化会引入什么样的代码管理问题? 以下是我对这些问题的思考。 代码之于程序员,就像沙场之于将军。普遍希望完全控制代码,可以自由驰聘、攻城掠地。但对于一个团队合作下的代码,这种行为却隐藏着极大的风险。特别是在一个崇尚战功文化的团队里,在鼓励大家承担更多责任的同时,同时也要注重对代码上的
windocs服务器漏洞修复
冰恋云的专栏
04-30 1555
问题列表及建议 一、服务器操作系统 1.无鉴别信息复杂度校验机制(高风险) 建议将操作系统“本地安全策略-密码策略”设置如下: (1)密码必须符合复杂性要求:已启用; (2)密码长度最小值:8个字符; (3)密码最短使用期限:1天; (3)密码最长使用期限:90天; (4)强制密码历史:5个记住密码; (5)用可还原的加密来存储密码:已禁用。 2.操作系统启用登录失败处理功能和连接超时自动退出功能(高风险) 建议开启操作系统登录失败处理功能,在“本地安全策略-帐户..
网络操作系统-用户权限分配.pptx
11-26
1. 最小权限原则:每个用户账户应拥有完成其工作所最小权限,避免过度授权。 2. 权限分离:将管理员权限分散到多个账户,减少单点故障风险。 3. 定期审计:定期检查并更新权限设置,确保符合安全政策。 4. 使用...
linux服务器测评指导书
06-10
* 应授予管理用户最小权限实现管理用户权限分离。 七、访问控制策略 Linux 服务器中的访问控制策略应规定主体对客体的访问规则。 测评要求: * 授权主体配置访问控制策略。 * 访问控制的粒度应达到...
windows服务器保测评作业指导书
06-10
d)应授予管理用户最小权限实现管理用户权限分离。 测评方法:本地安全策略(secpol.msc)--->安全设置--->本地策略--->用户权限分配。 预期结果:1、设置了系统管理员、安全员、审计角色,并根据管理...
Linux服务器主机安全方案.doc
12-01
我们建议根据管理用户的角色分配权限实现管理用户权限分离,仅授予管理用户最小权限。 2.1.3c) Privilege Separation 特权用户权限分离是访问控制的重要组成部分。我们建议区分 root 和 oracle 用户...
企业网站管理系统 防sql注入 asp版
07-09
4. 最小权限原则:数据库连接账户授予完成其功能所最小权限,限制攻击者可能造成的损害。 5. 使用存储过程:通过预定义的存储过程执行数据库操作,减少直接SQL命令的使用,提高安全性。 6. 安全编码实践:...
Linux\Mysql安全加固
潇峰的博客
02-18 4547
1. 服务器无设置密码复杂度策略(建议:设置密码复杂度校验策略,有密码长度、复杂度要求,Linux自己百度下): 整改截屏: 整改说明:密码策略最小8个字符、包含大小写字母和数字 2. 服务器无密码定期更换策略(建议:设置密码定期更换策略,如要求密码90天或180天更新,系统自动校验,Linux自己百度下): 整改截屏: 整改说明:最大过期时间180天 最小过期时间150天,过期前7天提醒 3. 服务器无登录失败校验策略(建议:设置登录失败策略,如登录失败5次锁定10-15分钟,Linu
三级等保要求
Jian Sun_的博客
01-29 1967
 《信息系统安全等级保护基本要求》 中华人民共和国国家标准GB/T 22239-2008   7 第三级基本要求   7.1 技术要求   7.1.1 物理安全   7.1.1.1 物理位置的选择(G3)   本项要求包括:   a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;   b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。   7.1.1.2 物理访问控制(G3)   本项要求包括:   a) 机房出入口应安排专人值守,控制、鉴别和记录进入.
Linux等保(三级)核查指导
热门推荐
枪菜且白给的博客
07-15 4万+
Linux等级保护
39 | 怎么控制好代码的权力?
qq_37756660的博客
01-31 770
在前面,我们讨论了“敏感信息经过授权才可以使用”的这样一条有关编码安全的实践。我们还可以把这个实践扩展到更大的范围:信息和资源,授权,方可使用。这个信息和资源,不仅仅包括用户数据这样的敏感信息,还包括计算机代码、产品和服务。授权使用这些资源,要遵循“最小授权”的原则。所授予的权力,能够让应用程序完成对应的任务就行,不要授予多余的权力。为了方便,我们可以把“最小授权”这个概念拆分成如下的两个部分来理解:最小权力的设计最小限度的授予
Linux用户与“最小权限原则
weixin_34365417的博客
10-07 513
作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明。谢谢!   Linux的用户在登录(login)之后,就带有一个用户身份(user ID, UID)和一个组身份(group ID, GID)。在Linux文件管理背景知识中,我们又看到,每个文件又有九位的权限说明,用来指明该文件允许哪些用户执行哪些操作(读、写或者执行)。 (参考L...
设置访问权限_一项一项教你测等保2.0——Windows访问控制
weixin_36230923的博客
01-15 6151
一、前言随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系要全面升级,以便配合《网络安全法》的实施,下面结合我多年...
信息安全等级保护措施之应用安全技术
千寻的博客
10-25 1016
8个控制点 | 身份鉴别 | 访问控制 | 安全审计 | 剩余信息保护 | 通信完整性 | 通信保密性 | 抗抵赖 | 软件容错 身份鉴别 a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别 b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别 c)应提供用户身份标识唯—和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识身份鉴别信息不易被冒用 d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 e)应启用身份鉴别、用户身份标识唯一性检查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小~小

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值