企業(yè)生產(chǎn)環(huán)境用戶權(quán)限集中管理方案案例

企業(yè)生產(chǎn)環(huán)境用戶權(quán)限集中管理方案案例建立中要添加如下的項(xiàng)目經(jīng)驗(yàn)：.在了解公司業(yè)務(wù)流程后，提出權(quán)限整改解決方案，改進(jìn)公司超級用戶Root權(quán)限泛濫的問題。.我首先寫好方案后，給老大看，取得老大的支持后，召集大家開會(huì)討論。.討論確定可行后，由我負(fù)責(zé)推進(jìn)實(shí)施.實(shí)施后結(jié)果，公司服務(wù)器權(quán)限管理更加清晰了。.制定賬號權(quán)限申請流程以及權(quán)限申請表格1問題現(xiàn)狀當(dāng)前我們公司服務(wù)器上百臺，各個(gè)服務(wù)器上需要管理的人很多（開發(fā)+運(yùn)維+架構(gòu)+DBA+產(chǎn)品+市場），在大家同時(shí)登錄Linux服務(wù)器的時(shí)候，不同職能員工的水平不同，因此導(dǎo)致很不規(guī)范，root權(quán)限泛濫（幾乎大部分人都擁有root權(quán)限），經(jīng)常導(dǎo)致文件莫名奇妙的丟失，老手和新手對服務(wù)器的熟知程度不同，這樣使得公司服務(wù)器安全存在很大的不穩(wěn)定性，以及操作的安全性。據(jù)企業(yè)調(diào)查，50%的以上的安全問題都來自于內(nèi)部。而不是外部。為了解決以上問題，單個(gè)用戶管理權(quán)限過大的現(xiàn)狀，現(xiàn)提出用戶權(quán)限集中管理的方案。2項(xiàng)目需求我們既希望超級用戶root密碼掌握在少數(shù)或者唯一人的手中，又希望多個(gè)系統(tǒng)管理員或者相關(guān)權(quán)限的的人員，可以完成更多更復(fù)雜的與自身職能相關(guān)的工作。不至于越權(quán)操作導(dǎo)致系統(tǒng)安全隱患。那么如何解決多個(gè)管理員都能解決系統(tǒng)而且又不讓超級權(quán)限泛濫呢？這就需要sudo管理來代替或者結(jié)合su命令來完成這樣苛刻且必要的服務(wù)器用戶管理需求。3具體實(shí)現(xiàn)針對公司里面不同部門，根據(jù)員工的具體工作職能（例如：開發(fā)，運(yùn)維數(shù)據(jù)庫管理員等），分等級、層次的的實(shí)現(xiàn)對Linux服務(wù)器管理權(quán)限的最小化和規(guī)范化。這樣既減少了運(yùn)維管理的成本，消除了安全隱患，也提高了工作效率，實(shí)現(xiàn)了高質(zhì)量、快速化的完成項(xiàng)目進(jìn)度以及日常的系統(tǒng)維護(hù)。4實(shí)施方案

說明：實(shí)施方案一般由積極主動(dòng)發(fā)現(xiàn)問題的運(yùn)維人員提出問題的，然后寫好方案，再召集大家討論可行性，最后確定方案，實(shí)施部署，最后后期維護(hù)總結(jié)。思想：在提出問題之前，一定要想到如何解決，一并發(fā)出來解決方案到此為止：你應(yīng)該寫完權(quán)限規(guī)劃文檔了。信息采集4,1.1召集相關(guān)部門的領(lǐng)導(dǎo)通過會(huì)議討論或者組織領(lǐng)導(dǎo)溝通確定權(quán)限管理方案的可行性。需要支持的人員：運(yùn)維經(jīng)理或者總監(jiān)，CTO的支持、各部門領(lǐng)導(dǎo)的支持。我們作為運(yùn)維人員，拿著老師這樣類型的方案，給大家講解這個(gè)文檔。通過會(huì)議的形式做演講，慷慨激昂的演說，取得老大們的認(rèn)可。才是項(xiàng)目可以實(shí)施的前提。當(dāng)然，如果不實(shí)施，你也得到了鍛煉，老大對你積極主動(dòng)的思想網(wǎng)站架構(gòu)問題也是另眼看待的。確定方案的可行性以后，會(huì)議負(fù)責(zé)匯總，提交、審核所有相關(guān)人員對Linux服務(wù)器的權(quán)限需要問題。取得老大們的支持以后，通過發(fā)郵件或者聯(lián)系相關(guān)人員取得需要的相關(guān)員工權(quán)限。比如說：請各部門經(jīng)理整理歸類本部門需要登錄的Linux的權(quán)限人員名單、職位、以及負(fù)責(zé)的業(yè)務(wù)及權(quán)限。如果說不清楚權(quán)限細(xì)節(jié)，就說負(fù)責(zé)的業(yè)務(wù)細(xì)節(jié)。這樣運(yùn)維人員就可以確定需要是什么權(quán)限了。按照需求執(zhí)行Linux命令程序以及公司業(yè)務(wù)服務(wù)來規(guī)劃權(quán)限和人員對應(yīng)配置。主要是運(yùn)維人員根據(jù)上面搜集的人員名單，需要的業(yè)務(wù)以及權(quán)角色，對應(yīng)賬號的配置權(quán)限，實(shí)際上就是sudo配置文件。權(quán)限方案一旦實(shí)施以后，所有員工必須通過《員工Linux服務(wù)器管理權(quán)限申請表》來申請對應(yīng)的權(quán)限，確定審批流程，規(guī)范化管理。這里實(shí)施后，把住權(quán)限申請流程很重要，否則大家不聽話，方案實(shí)施也會(huì)泡湯的。寫操作說明，對各部門人員進(jìn)行操作講解，sudu執(zhí)行命令，設(shè)計(jì)的PATH變量問題。運(yùn)維提前處理好。信息采集的結(jié)果如下:

某部門IDC權(quán)限細(xì)化方案:目前IDC系統(tǒng)賬號所有的權(quán)限都是超級權(quán)限，在安全方面存在著隱患，本著''給用戶盡可能少的權(quán)限但仍允許他們完成任務(wù)〃的宗旨，如今對常用命令進(jìn)行分類細(xì)化：權(quán)限對照表格:PROCESSES/bin/kill,/usr/bin/kill,/usr/bin/killall,/usr/bin/pkill,/bin/netstat,/bin/psFCMD_0/sbin/reboot,/sbin/shutdown,/sbin/init0,/sbin/init6FCMD_1/bin/su-adsystem,/bin/su-audit,/bin/su-huapi,/bin/su-searchcenter,/bin/su-swebNgFCMD_2/server/script/rhy/shangxian,/server/script/rhy/shangxian/haShangxian/shangxian,FCMD_3/bin/cat,/bin/ls

擁有權(quán)限簡要說明普通開發(fā)權(quán)限NOPASSWD:FCMD_1,FCMD_3,PROCESSES無需密碼切換到分用戶殺死進(jìn)程重啟服務(wù)，查看等權(quán)限開發(fā)sudo權(quán)限NOPASSWD:!/bin/sudosu-root,FCMD_0除了可以切到root，蘇可以執(zhí)行除重啟機(jī)器外的所有權(quán)限運(yùn)維上線權(quán)NOPASSWD:FCMD_1,FCMD_2,FCMD_3,PROCESSCE無密碼切換到分用戶，切換到負(fù)載均衡，重啟服務(wù)運(yùn)維超級權(quán)NOPASSWD:ALL所有權(quán)限分用戶權(quán)限NOPASSWD:PROCESSER,/run/apache/bin/apachectl-kstart分用戶殺死和啟動(dòng)進(jìn)程做了如下的測試結(jié)果：創(chuàng)建了三個(gè)普通分用戶t1,t2,t3,shell腳本如下:#createthreeusert1t2andt3foruint1t2t3douseradd$uecho"123"|passwd--stdin$udone創(chuàng)建了四個(gè)權(quán)限測試用戶，為普通開發(fā)權(quán)限、開發(fā)sudo權(quán)限，運(yùn)維上線權(quán)限，運(yùn)維超級權(quán)限#createdevelopeusersandoperatorsastest

fornameinordinary_developsudo_developordinary_operatorroot_operatordouseradd$name;echo"123"|passwd--stdin$name;done先在文本文件中編輯visodu的設(shè)置：#setcommandbyoptionCmnd_AliasPROCESSER=/usr/sbin/useradd,/usr/sbin/userdelCmnd_AliasFCMD_0=/sbin/reboot,/sbin/shutdown,/sbin/init0,/sbin/init6Cmnd_AliasFCMD_1=/bin/su-t1,/bin/su-t2,/bin/su-t3Cmnd_AliasFCMD_2=/server/script/rhy/shangxian,/server/script/rhy/shangxian/haShangxian/shangxiainCmnd_AliasFCMD_3=/bin/cat,/bin/ls#showHOST#Host_AliasSERVICE=smtp,smtp2,moban#setusersUser_AliasORDINARY_DEVELOP=ordinary_developUser_AliasSUDO_DEVELOP=sudo_developUser_AliasORDINARY_USERS=t1,t2,t3User_AliasORDINARY_OPERATOR=ordinary_operatorUser_AliasROOT_OPERATOR=root_operator#Runas_AliasOP=root#setauthority

ORDINARY_DEVELOP SERVICE=(OP) NOPASSWD:FCMD_1,FCMD_3,PROCESSERSUDO_DEVELOPSERVICE=(OP)NOPASSWD:!/bin/sudosu-root,!/bin/sudosu-,FCMD_0ORDINARY_OPERATOR SERVICE=(OP)NOPASSWD:FCMD_1,FCMD_2,FCMD_3,PROCESSERROOT_OPERATORSERVICE=(OP)NOPASSWD:ALLORDINARY_USERSSERVICE=(OP)NOPASSWD:PROCESSER,/run/apache/bin/apachectl-kstart再使用visodu進(jìn)行編輯配置lasPROCE3SER=/usr/sbin/us^radkli/usr/sbin/userdelCmnd-AliasFCMO.O=/sbip/reboat,/sbin/shwtdcMm./sbin/init0,/sbin/init5Cmnd_AlFCMO_1=/bin/su-tlB/bin/su-t2B/bin/su-t3,CmndtmFCMD_2-/server/script/rhy/shang^ciamB/server/script/rbyAhang^ian/hashangxian/shangxiainCmnd_AliasFClHC_3-/fcin/ca.tv/bin/ls匣ho#HOSTt_Al13￡SERVICE=SMCp,￡hltp27nobail#seciis-ersUser_A.lliasOKDIhARY_DE^ELOP=oiidiiwry_developUser_A.lliisSUDO_D￡\TLOP=￡udc_develVseFeliasWDINiarv_vseR5= t23t3UserlasO*5DIK^R￥_ciperatdr=ordiFiary-operatcirUser_51iasROOT.GPER.ATCT;-roDt_ciperatDr^RURCLS-AlTASpF=r^Oit^"setauthcrityORDINARY_DE^￡LOP SERVICE-(OP) h.OPi!k￡SWD!:FCMD_1?FCMD_33PRDC￡S5Eft￡tfDO_DEVELCipSERVICE-(OP}hOPASSwdiS/biin/sudo與u-rootS/bin/stidosu-,FOMC_0O&DINARY_OPEKATOft SERVI€E=￡OP) hOPAS5WD1FCMD_1,FCMD_2,FCHD_3,PRCi€￡S5ERft<MJT_OP￡RATClftSERVICE=(OP}hOPASSKl'ALLORDINARY_USERSSERVICE=(OP) hOPASSKi-PROCESSER,/run/apacfe/bin/apachect1-kstart登錄sudo_develop測試權(quán)限:[sudla_deveilopfinab-an 與udki-1MatchingDefaultsentriesforsudo.cleveloponthishost:requirectyBIvisiblepw.sluays-setJMMK,env-reset,€nv_keefj=,,C0L0R501SPLAYhostnaheHIST&izeinpiftrcKDECIKLSjXen'.'_lcee&4-"MAILP51PS2CJTDIR.USERNAMEILANGLCJDDRESSLt—tTVPE”,env_keep*""LC_￡OLLATtL€_ICENTIFICATIONLC.ME^HLC-MESSAGES"11tfl￥_k?p+-'，LC_NOKETARYLJN酬IEIC_NIHEHICL€_FAPERLC_TILEFHWE"Pcnv_kecp^-"LC_T][MELCJLL1好臼」忌？_XKB_CmARS￡TXAaJthority,j1secur€_pattt=