项目目的:

               由于各部门员工对Linux的熟悉程度参差不齐,所以经常会产生一些误操作,以至于造成服务器宕机或重要文件的丢失。所以使用权限最小化可以尽可能的降低安全隐患,有利于提高工作效率,降低维护的成本。

具体实现:

               根据各个部门的职能,等级,分层次的进行部署,分布实现Linux服务器的权限最小化。进行普及性的sudo的使用培训,使其在两个月到三个月内可以彻底适应这种权限内的操作。

具体实施:

               1、首先在各部门的负责人手中获取每位员工涉及到需要使用的权限。

               2、根据各部门负责人提供的信息,运维人员给出所需的最小权限。     

               3、在权限改造项目完成后,根据各部门所反馈的信息,为某些人员添加权限,以达到日常的项目可以正常的进行。

               4、在保证工作可以正常运行后,建立权限使用申请表,已提供某些员工临时需要使用一些命令所用。


项目所需知识点详解:

        sudo是Linux的系统管理指令,是允许系统管理员让普通用户执行一些或者全部的系命令的工具。我们可以通过使用命令visudo或编辑vim /etc/sudoers这个文件来达到权限限制的目的。

sudo文件讲解:

            sudo文件中会提供一个例子: root              ALL=(ALL)                        ALL

                                                        用户            机器        谁的权限        使用的权限

            这样一个用户一个用户的设置,如果需要加权限的人太多,容易造成遗漏,或一些错误,所以这里建议采用别名的方法。

            User_ALIAS       ADMINS= 用户名用逗号分隔  还可以使用%加组名 (ADMINS可以根据自己需求进行定义)

            Host_Alias         FILESERVERS=fs1,fs2

            Host_Alias         MAILSERVERS=smtp1,smtp2

            Cmnd_Alias       NETWOEKING=命令的绝对路径     

 其中sudo配置文件 /etc/sudoers授权规则的注意事项:

            1)被授权的所有的ALL字符串必须是大写字母

            2)将排除不执行的命令写在后面

                例:/usr/sbin/*,/sbin/*,!/usr/sbin/visudo

            3)在使用visudo编辑完文件后,最好使用visudo -c进行语法检查,如出现语法错误将造成所有设置失效。所以不建议使用重定向。