企業(yè)生產(chǎn)環(huán)境用戶權(quán)限集中管理方案案例

1、企業(yè)生產(chǎn)環(huán)境用戶權(quán)限集中管理方案案例建立中要添加如下的項目經(jīng)驗：1.在了解公司業(yè)務(wù)流程后，提出權(quán)限整改解決方案，改進公司超級用戶Root權(quán)限泛濫的問題。2. 我首先寫好方案后，給老大看，取得老大的支持后，召集大家開會討論。3. 討論確定可行后，由我負責(zé)推進實施4. 實施后結(jié)果，公司服務(wù)器權(quán)限管理更加清晰了。5. 制定賬號權(quán)限申請流程以及權(quán)限申請表格1 問題現(xiàn)狀當前我們公司服務(wù)器上百臺，各個服務(wù)器上需要管理的人很多（開發(fā)+ 運維 + 架構(gòu) +DBA+產(chǎn)品+ 市場），在大家同時登錄 Linux 服務(wù)器的時候， 不同職能員工的水平不同， 因此導(dǎo)致很不規(guī)范，root權(quán)限泛濫（幾乎大部分人都擁有root

2、權(quán)限），經(jīng)常導(dǎo)致文件莫名奇妙的丟失，老手和新手對服務(wù)器的熟知程度不同，這樣使得公司服務(wù)器安全存在很大的不穩(wěn)定性，以及操作的安全性。據(jù)企業(yè)調(diào)查， 50% 的以上的安全問題都來自于內(nèi)部。而不是外部。為了解決以上問題，單個用戶管理權(quán)限過大的現(xiàn)狀，現(xiàn)提出用戶權(quán)限集中管理的方案。2 項目需求我們既希望超級用戶root密碼掌握在少數(shù)或者唯一人的手中，又希望多個系統(tǒng)管理員或者相關(guān)權(quán)限的的人員，可以完成更多更復(fù)雜的與自身職能相關(guān)的工作。不至于越權(quán)操作導(dǎo)致系統(tǒng)安全隱患。那么如何解決多個管理員都能解決系統(tǒng)而且又不讓超級權(quán)限泛濫呢？這就需要sudo管理來代替或者結(jié)合su 命令來完成這樣苛刻且必要的服務(wù)器用戶管理需求

3、。3 具體實現(xiàn)針對公司里面不同部門， 根據(jù)員工的具體工作職能 （例如： 開發(fā)，運維數(shù)據(jù)庫管理員等） ，分等級、層次的的實現(xiàn)對 Linux 服務(wù)器管理權(quán)限的最小化和規(guī)范化。這樣既減少了運維管理的成本，消除了安全隱患，也提高了工作效率，實現(xiàn)了高質(zhì)量、快速化的完成項目進度以及日常的系統(tǒng)維護。4 實施方案說明：實施方案一般由積極主動發(fā)現(xiàn)問題的運維人員提出問題的，然后寫好方案，再召集大家討論可行性，最后確定方案，實施部署，最后后期維護總結(jié)。思想：在提出問題之前，一定要想到如何解決，一并發(fā)出來解決方案到此為止：你應(yīng)該寫完權(quán)限規(guī)劃文檔了。4.1信息采集4,1.1召集相關(guān)部門的領(lǐng)導(dǎo)通過會議討論或者組織領(lǐng)導(dǎo)溝通

4、確定權(quán)限管理方案的可行性。需要支持的人員：運維經(jīng)理或者總監(jiān)，CTO 的支持、各部門領(lǐng)導(dǎo)的支持。我們作為運維人員，拿著老師這樣類型的方案，給大家講解這個文檔。通過會議的形式做演講，慷慨激昂的演說，取得老大們的認可。才是項目可以實施的前提。當然，如果不實施，你也得到了鍛煉，老大對你積極主動的思想網(wǎng)站架構(gòu)問題也是另眼看待的。確定方案的可行性以后，會議負責(zé)匯總，提交、審核所有相關(guān)人員對Linux服務(wù)器的權(quán)限需要問題。取得老大們的支持以后，通過發(fā)郵件或者聯(lián)系相關(guān)人員取得需要的相關(guān)員工權(quán)限。比如說：請各部門經(jīng)理整理歸類本部門需要登錄的Linux的權(quán)限人員名單、職位、以及負責(zé)的業(yè)務(wù)及權(quán)限。如果說不清楚權(quán)限細

5、節(jié)，就說負責(zé)的業(yè)務(wù)細節(jié)。這樣運維人員就可以確定需要是什么權(quán)限了。按照需求執(zhí)行Linux命令程序以及公司業(yè)務(wù)服務(wù)來規(guī)劃權(quán)限和人員對應(yīng)配置。主要是運維人員根據(jù)上面搜集的人員名單，需要的業(yè)務(wù)以及權(quán)角色，對應(yīng)賬號的配置權(quán)限，實際上就是 sudo配置文件。權(quán)限方案一旦實施以后，所有員工必須通過員工Linux服務(wù)器管理權(quán)限申請表來申請對應(yīng)的權(quán)限，確定審批流程，規(guī)范化管理。這里實施后，把住權(quán)限申請流程很重要，否則大家不聽話，方案實施也會泡湯的。寫操作說明，對各部門人員進行操作講解，sudu執(zhí)行命令，設(shè)計的PATH 變量問題。運維提前處理好。信息采集的結(jié)果如下：某部門IDC權(quán)限細化方案：目前 IDC 系統(tǒng)賬號

6、所有的權(quán)限都是超級權(quán)限， 在安全方面存在著隱患，權(quán)限但仍允許他們完成任務(wù) ”的宗旨，如今對常用命令進行分類細化：本著 “給用戶盡可能少的權(quán)限對照表格：PROCESSES/bin/kill, /usr/bin/kill, /usr/bin/killall, /usr/bin/pkill, /bin/netstat, /bin/psFCMD_0/sbin/reboot, /sbin/shutdown, /sbin/init 0, /sbin/init 6FCMD_1/bin/su - adsystem,/bin/su - audit,/bin/su - huapi, /bin/su - searc

7、hcenter, /bin/su - swebNgFCMD_2/server/script/rhy/shangxian,/server/script/rhy/shangxian/haShangxian/shangxian,FCMD_3/bin/cat,/bin/ls擁有權(quán)限普通開發(fā)權(quán)限NOPASSWD:FCMD_1,FCMD_3,PROCESSES開發(fā) sudo權(quán)限NOPASSWD:!/bin/sudo su - root,FCMD_0運維上線權(quán)NOPASSWD:FCMD_1,FCMD_2,FCMD_3,PROCESSCE運維超級權(quán)NOPASSWD:ALL分用戶權(quán)限NOPASSWD:PROCE

8、SSER,/run/apache/bin/apachectl -k start做了如下的測試結(jié)果：創(chuàng)建了三個普通分用戶t1,t2,t3,shell腳本如下：#createthreeusert1 t2and t3for uin t1 t2t3douseradd$uecho "123"|passwd-stdin$udone簡要說明無需密碼切換到分用戶殺死進程重啟服務(wù)，查看等權(quán)限除了可以切到root ，蘇可以執(zhí)行除重啟機器外的所有權(quán)限無密碼切換到分用戶，切換到負載均衡，重啟服務(wù)所有權(quán)限分用戶殺死和啟動進程創(chuàng)建了四個權(quán)限測試用戶，為普通開發(fā)權(quán)限、開發(fā)sudo權(quán)限，運維上線權(quán)限，運維

9、超級權(quán)限#createdevelopeusersandoperatorsastestfornameinordinary_developsudo_developordinary_operatorroot_operatordouseradd$name;echo"123"|passwd-stdin$name;done先在文本文件中編輯visodu的設(shè)置：#set commandbyoptionCmnd_AliasPROCESSER= /usr/sbin/useradd,/usr/sbin/userdelCmnd_AliasFCMD_0=/sbin/reboot,/sbin/shu

10、tdown,/sbin/init0, /sbin/init6Cmnd_AliasFCMD_1=/bin/su -t1, /bin/su- t2,/bin/su - t3Cmnd_AliasFCMD_2=/server/script/rhy/shangxian,/server/script/rhy/shangxian/haShangxian/shangxiainCmnd_AliasFCMD_3=/bin/cat,/bin/ls#showHOST#Host_AliasSERVICE=smtp,smtp2,moban#set usersUser_AliasORDINARY_DEVELOP=ordin

11、ary_developUser_AliasSUDO_DEVELOP=sudo_developUser_AliasORDINARY_USERS=t1,t2, t3User_AliasORDINARY_OPERATOR= ordinary_operatorUser_AliasROOT_OPERATOR=root_operator#Runas_AliasOP=root#setauthorityORDINARY_DEVELOPSERVICE=(OP)NOPASSWD:FCMD_1,FCMD_3,PROCESSERSUDO_DEVELOPSERVICE=(OP)NOPASSWD:!/bin/sudosu

12、-root,!/bin/sudosu-,FCMD_0ORDINARY_OPERATORSERVICE=(OP)NOPASSWD:FCMD_1,FCMD_2,FCMD_3,PROCESSERROOT_OPERATORSERVICE=(OP)NOPASSWD:ALLORDINARY_USERSSERVICE=(OP)NOPASSWD:PROCESSER,/run/apache/bin/apachectl-kstart再使用 visodu進行編輯配置登錄 sudo_develop測試權(quán)限：出師表兩漢：諸葛亮先帝創(chuàng)業(yè)未半而中道崩殂， 今天下三分， 益州疲弊， 此誠危急存亡之秋也。然侍衛(wèi)之臣不懈于內(nèi)，忠

13、志之士忘身于外者，蓋追先帝之殊遇，欲報之于陛下也。誠宜開張圣聽，以光先帝遺德，恢弘志士之氣，不宜妄自菲薄，引喻失義，以塞忠諫之路也。宮中府中，俱為一體；陟罰臧否，不宜異同。若有作奸犯科及為忠善者，宜付有司論其刑賞，以昭陛下平明之理；不宜偏私，使內(nèi)外異法也。侍中、侍郎郭攸之、費祎、董允等，此皆良實，志慮忠純，是以先帝簡拔以遺陛下：愚以為宮中之事，事無大小，悉以咨之，然后施行，必能裨補闕漏，有所廣益。將軍向?qū)櫍孕惺缇?，曉暢軍事，試用于昔日，先帝稱之曰“能 ”，是以眾議舉寵為督：愚以為營中之事，悉以咨之，必能使行陣和睦，優(yōu)劣得所。親賢臣，遠小人，此先漢所以興隆也； 親小人， 遠賢臣，此后漢所以傾頹也。 先帝在時，每與臣論此事， 未嘗不嘆息痛恨于桓、 靈也。侍中、尚書、長史、參軍，此悉貞良死節(jié)之臣，愿陛下親之、信之，則漢室之隆，可計日而待也。臣本布衣，躬耕于南陽，茍全性命于亂世，不求聞達于諸侯。先帝不以臣卑鄙，猥自枉屈，三顧臣于草廬之中，咨臣以當世之事，由是感激，遂許先帝以驅(qū)馳。后值傾覆，受任于敗軍之際，奉命于危難之間，爾來二十有一年矣。先帝知臣謹慎，故臨崩寄臣以大事也。受