linux麒麟系统二级等保【三权分立策略】

目录

三权分立策略

一、系统管理员

二、审计管理员

三、安全管理员


三权分立策略

"建议创建管理、操作、审计三类独立权限账号,支持三权分立机制。参考配置:

管理账号(root):拥有所有操作权限;

普通账号:具有基本操作权限;

审计账号:对各类日志及文件仅具有查看权限。

1.root账号安装时产生;

2.普通账号创建

useradd 账号名 #创建账号

passwd 密码 #设置密码

注:普通账号权限具体需要根据实际需求设置,一般已有的权限可以满足需求(通过sudo授权控制权限)。

3.审计账号:审计账号仅用于审计功能,其权限可在普通账号基础上进行修改。

1)创建审计账号(方法同普通账号);

2)修改审计账号权限使其仅具有查看功能:

setfacl -m u:账号名:rx 目录或文件绝对路径 #设置权限控制

3)给审计账号授权,修改/etc/sudoers文件,在文件最下边添加如下内容

账号名 ALL = (root) NOPASSWD: /usr/bin/cat,/usr/bin/less,/usr/bin/more,/usr/bin/tail,/usr/bin/head"

不符合,未建立审计、运维账号

整改-----------------------------------

一、系统管理员

(1)创建系统管理员(sys用户)并设置密码

复制代码
useradd sys
passwd sys

(2)创建组并将用户添加到组(/var是要给用户权限访问的路径),并设置目录权限。**注:**这一步骤需要根据业务来确定是否配置以及配置的内容。

复制代码
 groupadd sysgroup
 usermod -G sysgroup sys
 chown -R sys:sysgroup /var
 chmod 741 /var

二、审计管理员

(1)创建用户

复制代码
 添加用户
 useradd userlog
 passwd userlog

(2)设置shenji用户只有sudo的查看权限

复制代码
 修改/etc/sudoers文件,注意这里要用visudo编辑 为审计用户添加查看的权限,添加内容如下
visudo /etc/sudoers
userlog ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

其中,userlog ALL = (ALL) 表示shenji用户在免密的情况下sudo使用查看文件的命令。

##如果是所有sudo命令的话,可以把命令改为:

userlog ALL = (ALL) NOPASSWD: ALL

(3)设置只能shenji用户访问/var/log,配置目录权限 **注:**这一步骤需要根据业务来确定是否配置以及配置的内容。

复制代码
给目录设置权限# 700表示只允许自己访问,不允许其他用户访问
 chown -R userlog:userlog /var/log
 chmod 700 /var/log

三、安全管理员

(1)创建用户并指定登录的起始目录

复制代码
[root@localhost ~]# useradd -d /etc anquan
[root@localhost ~]# passwd anquan

(2)只允许anquan用户访问/etc,设置目录权限 注:这一步骤需要根据业务来确定是否配置以及配置的内容。

复制代码
[root@localhost ~]# chown -R anquan:anquan /etc
[root@localhost ~]# chmod 700 /etc

参考:linux的三权分立设计思路和用户创建(安全管理员、系统管理员和审计管理员)_勇敢的_小小邱的博客-CSDN博客

相关推荐
小猿姐3 小时前
唯品会大规模数据库云原生实践:基于 KubeBlocks 管理数千实例的统一运维之路
运维·elasticsearch·云原生
七歌杜金房8 小时前
我终于又有了自己的 Linux 电脑
linux·debian·mac
SkyWalking中文站16 小时前
认识 Horizon UI · 5/17:3D 基础设施地图
运维·监控·自动化运维
tntxia1 天前
linux curl命令详解_curl详解
linux
扛枪的书生1 天前
Linux 网络管理器用法速查
linux
SkyWalking中文站2 天前
认识 Horizon UI · 1/17:SkyWalking 新一代可观测性控制台
运维·前端·监控
顺风尿一寸2 天前
Java Socket 内核之旅:从 SocketChannel.read() 到 tcp_recvmsg 与 epoll 的完整调用链路
linux
雪梨酱QAQ2 天前
Kubeneters HA Cluster部署
运维
江华森2 天前
Spring Cloud 微服务全栈实战:从 Eureka 到 Docker Compose 一文贯通
运维
江华森2 天前
Matplotlib 数据绘图基础入门
运维