linux麒麟系统二级等保【三权分立策略】

目录

三权分立策略

一、系统管理员

二、审计管理员

三、安全管理员


三权分立策略

"建议创建管理、操作、审计三类独立权限账号,支持三权分立机制。参考配置:

管理账号(root):拥有所有操作权限;

普通账号:具有基本操作权限;

审计账号:对各类日志及文件仅具有查看权限。

1.root账号安装时产生;

2.普通账号创建

useradd 账号名 #创建账号

passwd 密码 #设置密码

注:普通账号权限具体需要根据实际需求设置,一般已有的权限可以满足需求(通过sudo授权控制权限)。

3.审计账号:审计账号仅用于审计功能,其权限可在普通账号基础上进行修改。

1)创建审计账号(方法同普通账号);

2)修改审计账号权限使其仅具有查看功能:

setfacl -m u:账号名:rx 目录或文件绝对路径 #设置权限控制

3)给审计账号授权,修改/etc/sudoers文件,在文件最下边添加如下内容

账号名 ALL = (root) NOPASSWD: /usr/bin/cat,/usr/bin/less,/usr/bin/more,/usr/bin/tail,/usr/bin/head"

不符合,未建立审计、运维账号

整改-----------------------------------

一、系统管理员

(1)创建系统管理员(sys用户)并设置密码

复制代码
useradd sys
passwd sys

(2)创建组并将用户添加到组(/var是要给用户权限访问的路径),并设置目录权限。**注:**这一步骤需要根据业务来确定是否配置以及配置的内容。

复制代码
 groupadd sysgroup
 usermod -G sysgroup sys
 chown -R sys:sysgroup /var
 chmod 741 /var

二、审计管理员

(1)创建用户

复制代码
 添加用户
 useradd userlog
 passwd userlog

(2)设置shenji用户只有sudo的查看权限

复制代码
 修改/etc/sudoers文件,注意这里要用visudo编辑 为审计用户添加查看的权限,添加内容如下
visudo /etc/sudoers
userlog ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

其中,userlog ALL = (ALL) 表示shenji用户在免密的情况下sudo使用查看文件的命令。

##如果是所有sudo命令的话,可以把命令改为:

userlog ALL = (ALL) NOPASSWD: ALL

(3)设置只能shenji用户访问/var/log,配置目录权限 **注:**这一步骤需要根据业务来确定是否配置以及配置的内容。

复制代码
给目录设置权限# 700表示只允许自己访问,不允许其他用户访问
 chown -R userlog:userlog /var/log
 chmod 700 /var/log

三、安全管理员

(1)创建用户并指定登录的起始目录

复制代码
[root@localhost ~]# useradd -d /etc anquan
[root@localhost ~]# passwd anquan

(2)只允许anquan用户访问/etc,设置目录权限 注:这一步骤需要根据业务来确定是否配置以及配置的内容。

复制代码
[root@localhost ~]# chown -R anquan:anquan /etc
[root@localhost ~]# chmod 700 /etc

参考:linux的三权分立设计思路和用户创建(安全管理员、系统管理员和审计管理员)_勇敢的_小小邱的博客-CSDN博客

相关推荐
斗转星移35 小时前
Ubuntu20.04 中使用vscode中编辑查看PlantUML
linux·vscode·uml·plantuml
正经教主7 小时前
【问题】解决docker的方式安装n8n,找不到docker.n8n.io/n8nio/n8n:latest镜像的问题
运维·docker·容器·n8n
sukida1007 小时前
BIOS主板(非UEFI)安装fedora42的方法
linux·windows·fedora
●^●7 小时前
Linux 权限修改详解:chmod 命令与权限数字的秘密
linux
唯独失去了从容7 小时前
WebRTC服务器Coturn服务器中的通信协议
运维·服务器·webrtc
光而不耀@lgy8 小时前
C++初登门槛
linux·开发语言·网络·c++·后端
joker_zsl8 小时前
docker的安装和简单使用(ubuntu环境)
运维·docker·容器
偶尔微微一笑8 小时前
AI网络渗透kali应用(gptshell)
linux·人工智能·python·自然语言处理·编辑器
Run1.8 小时前
深入解析 Linux 中动静态库的加载机制:从原理到实践
linux·运维·服务器
VI8664956I268 小时前
全链路自动化AIGC内容工厂:构建企业级智能内容生产系统
运维·自动化·aigc