一、問題現狀
公司生產服務器通常上百臺,甚至上千臺上萬臺,操作人員很多(開發+運維+架構+DBA)。大家使用Linux服務器時,不同職能的員工水平不同,老手和新手員工熟知度不同,如果權限控制不當(如root權限氾濫),服務器的安全存在極大隱患。爲此,運維人員一般有一套系統用戶及權限標準規範。
二、標準規範
超級用戶密碼掌握在少數或者唯一的管理員手中,又希望多個系統管理員或相關權限的人員,能夠完成更多更復雜的自身職能相關的工作,又不至於越權操作導致系統安全隱患。
最小原則
- 1、安裝軟件最小化 。
- 2、目錄文件權限最小化。
- 3、用戶權限最小化。
- 4、程序權限運行最小化
三、規範案例
1、root【系統最高權限用戶】具備所有權限,用戶系統級別管理維護使用。
2、work【線上業務服務運行用戶】具備相關服務控制管理權限以及部分系統權限。
3、user【普通用戶權限】用於登錄服務器查看業務日誌、配置以及運行一些簡單腳本,有權讀取、無權操縱管理線上業務服務及系統配置。
4、read readonly賬號,僅有登錄服務器後的讀取權限,無任何寫入權限。
5、dia【日誌數據收集專用用戶】線上業務服務日誌數據收集專用用戶,僅對業務服務日誌有讀取權限以及運行日誌抓取相關程序或腳本的權限。