linux麒麟系统二级等保【三权分立策略】

目录

三权分立策略

一、系统管理员

二、审计管理员

三、安全管理员


三权分立策略

"建议创建管理、操作、审计三类独立权限账号,支持三权分立机制。参考配置:

管理账号(root):拥有所有操作权限;

普通账号:具有基本操作权限;

审计账号:对各类日志及文件仅具有查看权限。

1.root账号安装时产生;

2.普通账号创建

useradd 账号名 #创建账号

passwd 密码 #设置密码

注:普通账号权限具体需要根据实际需求设置,一般已有的权限可以满足需求(通过sudo授权控制权限)。

3.审计账号:审计账号仅用于审计功能,其权限可在普通账号基础上进行修改。

1)创建审计账号(方法同普通账号);

2)修改审计账号权限使其仅具有查看功能:

setfacl -m u:账号名:rx 目录或文件绝对路径 #设置权限控制

3)给审计账号授权,修改/etc/sudoers文件,在文件最下边添加如下内容

账号名 ALL = (root) NOPASSWD: /usr/bin/cat,/usr/bin/less,/usr/bin/more,/usr/bin/tail,/usr/bin/head"

不符合,未建立审计、运维账号

整改-----------------------------------

一、系统管理员

(1)创建系统管理员(sys用户)并设置密码

复制代码
useradd sys
passwd sys

(2)创建组并将用户添加到组(/var是要给用户权限访问的路径),并设置目录权限。**注:**这一步骤需要根据业务来确定是否配置以及配置的内容。

复制代码
 groupadd sysgroup
 usermod -G sysgroup sys
 chown -R sys:sysgroup /var
 chmod 741 /var

二、审计管理员

(1)创建用户

复制代码
 添加用户
 useradd userlog
 passwd userlog

(2)设置shenji用户只有sudo的查看权限

复制代码
 修改/etc/sudoers文件,注意这里要用visudo编辑 为审计用户添加查看的权限,添加内容如下
visudo /etc/sudoers
userlog ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

其中,userlog ALL = (ALL) 表示shenji用户在免密的情况下sudo使用查看文件的命令。

##如果是所有sudo命令的话,可以把命令改为:

userlog ALL = (ALL) NOPASSWD: ALL

(3)设置只能shenji用户访问/var/log,配置目录权限 **注:**这一步骤需要根据业务来确定是否配置以及配置的内容。

复制代码
给目录设置权限# 700表示只允许自己访问,不允许其他用户访问
 chown -R userlog:userlog /var/log
 chmod 700 /var/log

三、安全管理员

(1)创建用户并指定登录的起始目录

复制代码
[root@localhost ~]# useradd -d /etc anquan
[root@localhost ~]# passwd anquan

(2)只允许anquan用户访问/etc,设置目录权限 注:这一步骤需要根据业务来确定是否配置以及配置的内容。

复制代码
[root@localhost ~]# chown -R anquan:anquan /etc
[root@localhost ~]# chmod 700 /etc

参考:linux的三权分立设计思路和用户创建(安全管理员、系统管理员和审计管理员)_勇敢的_小小邱的博客-CSDN博客

相关推荐
宁zz15 小时前
乌班图安装jenkins
运维·jenkins
无名之逆15 小时前
Rust 开发提效神器:lombok-macros 宏库
服务器·开发语言·前端·数据库·后端·python·rust
大丈夫立于天地间15 小时前
ISIS协议中的数据库同步
运维·网络·信息与通信
cg501716 小时前
Spring Boot 的配置文件
java·linux·spring boot
暮云星影16 小时前
三、FFmpeg学习笔记
linux·ffmpeg
rainFFrain16 小时前
单例模式与线程安全
linux·运维·服务器·vscode·单例模式
GalaxyPokemon16 小时前
Muduo网络库实现 [九] - EventLoopThread模块
linux·服务器·c++
mingqian_chu17 小时前
ubuntu中使用安卓模拟器
android·linux·ubuntu
xujiangyan_17 小时前
nginx的反向代理和负载均衡
服务器·网络·nginx