-
三级等保-linux服务器三权分立设置
安全问题
安全控制点
风险分析
风险等级
标准要求
加固建议
服务器未严格按照系统管理员权限、审计管理员权限、安全管理员权限进行分配管理员账户,未实现管理员用户的最小权限划分。
访问控制
可能存在管理员越权操作的风险
中
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
建议服务器创建审计管理员、安全管理员等管理员账户,并划分相关管理员权限,实现最小权限分离。
- 1.创建三权账号
- #新建系统管理员
- useradd sysadmin
- passwd sysadmin
- #新建安全管理员
- useradd secadmin
- passwd secadmin
- #新建审计管理员
- useradd auditadmin
- passwd auditadmin
- 2.修改visudo配置
- visudo
- #系统管理员
- Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
- Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig, /usr/bin/systemctl start, /usr/bin/systemctl stop, /usr/bin/systemctl reload, /usr/bin/systemctl restart, /usr/bin/systemctl status, /usr/bin/systemctl enable, /usr/bin/systemctl disable
- Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
- sysadmin ALL=(root) SOFTWARE,SERVICES,STORAGE
- #安全管理员
- Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
- Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
- Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
- secadmin ALL=(root) DELEGATING,PROCESSES,NETWORKING
- #审计管理员的权限
- auditadmin ALL=(root) NOPASSWD:/usr/sbin/aureport,NOPASSWD:/usr/sbin/autrace,NOPASSWD:/usr/sbin/ausearch,NOPASSWD:/usr/sbin/audispd,NOPASSWD:/usr/sbin/auditctl
- 3.测试配置是否正确
- visudo -c
使用审计管理员进行添加用户/添加防火墙操作,查看权限是否正确控制
至此服务器三权分立设置完成
注:当需要使用授权命令时,需要使用sudo xxx进行调用,如
[secadmin@sq2355-20220517 ~]$ sudo visudo
-
相关阅读:
3万字100道大数据技术之高频面试题总结(附答案)
VUE day_10(7.28)监听器、路由系统、vuex
《计算机视觉中的多视图几何》笔记(8)
深度解读财团参与Twitter私有化的投资逻辑
houdini 之copy to points
电脑操作系统你真的搞懂了分类?(第五十三课)
6.1 Burp Suite漏洞扫描使用
Spice:基础概念
Android进程与线程
vue3之echarts区域折线图
- 原文地址:https://blog.csdn.net/u013008898/article/details/133922835