关于服务器权限泛滥问题的解决方案:
现况:
服务器内部root权限泛滥,很多人用于root的密码权限,所以要对权限进行整改,收回root权限。
操作:
编辑/etc/sudo文件,对每个部门或者每个人进行权限限制管理,可以对一个部门的人员进行权限的管理分配,也可以单独的用户进行权限赋予,确保服务器运行安全。
需求1:
新来的运维的职员user1,不熟悉工作业务,只赋予一些查看命令的权限,例如:ls,cat等
useradd user1
passwd user
输入密码:123456
编辑配置/etc/sudoers
vim /etc/sudoers
或者:
visudo #带错误提示去编辑/etc/sudoers文件,尽量采用visudo 的方式编辑
添加:
##user1 CMD
Cmnd_Alias USER1CMD = /usr/bin/ls, /usr/bin/cat
user1 ALL=(root) USER1CMD
效果:
需求2:
运维部一些员工user2-5,可以执行passwd修改其他用户密码,但是不能修改root密码
#yunweibu
User_Alias YWB = user2, user3, user4, user5
YWB ALL=(root) /usr/bin/passwd *, !/usr/bin/passwd root
效果:
使用已经有的用户user2创建用户user3
修改user3的密码:
然后测试sudo对root用户进行密码修改
总结:
在公司内部,可以根据部门划分,命令划分,主机划分,还有就是运行这的划分定义别名,然后使用别名对权限进行管理,也可以单个进行管理,对权限进行合理的分配,不要过多给予权限,权限泛滥会导致很多隐患,权限过多会导致内部的误操作。所以,在授予权限的时候,要最小化。