《用戶權(quán)限集中管理方案.docx》由會員分享，可在線閱讀，更多相關(guān)《用戶權(quán)限集中管理方案.docx（8頁珍藏版）》請在匯文網(wǎng)上搜索。

1、1 企業(yè)生產(chǎn)環(huán)境用戶權(quán)限集中管理項目方案案例1.1問題現(xiàn)狀當(dāng)前我們公司里服務(wù)器上百臺，各個服務(wù)器上的管理人員很多(開發(fā)+運維+架構(gòu)+DBA+產(chǎn)品+市場)，在大家登錄使用Linux服務(wù)器時，不同職能的員工水平不同，因此導(dǎo)致操作很不規(guī)范，root權(quán)限泛濫(幾乎大多數(shù)人員都有root權(quán)限),經(jīng)常導(dǎo)致文件等莫名其妙的丟失，老手和新手員工對服務(wù)器的熟知度也不同，這樣使得公司服務(wù)器安全存在很大的不穩(wěn)定性，及操作安全隱患，據(jù)調(diào)查企業(yè)服務(wù)器環(huán)境，50%以上的安全問題都來自內(nèi)部，而不是外部。為了解決以上問題，單個用戶管理權(quán)限過大現(xiàn)狀，現(xiàn)提出針對Linux服務(wù)器用戶權(quán)限集中管理的解決方案。1.2項目需求我們既希望

2、超級用戶root密碼掌握在少數(shù)或唯一的管理員手中，又希望多個系統(tǒng)管理員或相關(guān)有權(quán)限的人員，能夠完成更多更復(fù)雜的自身職能相關(guān)的工作，又不至于越權(quán)操作導(dǎo)致系統(tǒng)安全隱患。那么，如何解決多個系統(tǒng)管理員都能管理系統(tǒng)而又不讓超級權(quán)限泛濫的需求呢?這就需要sudo管理來代替或結(jié)合su 命令來完成這樣的苛刻且必要的企業(yè)服務(wù)器用戶管理需求。1.3 具體實現(xiàn)針對公司里不同的部門，根據(jù)員工的具體工作職能(例如:開發(fā)，運維，數(shù)據(jù)庫管理員)，分等級，分層次的實現(xiàn)對Linux服務(wù)器管理的權(quán)限最小化、規(guī)范化。這樣既減少了運維管理成本，消除了安全隱患，又提高了工作效率，實現(xiàn)了高質(zhì)量的、快速化的完成項目進(jìn)度，以及日常系統(tǒng)維護(hù)。

3、1.4 實施方案說明:實施方案一般是由積極主動發(fā)現(xiàn)問題的運維人員提出的問題，然后寫好方案，在召集大家討論可行性，最后確定方案，實施部署，最后后期總結(jié)維護(hù)。思想:在提出問題之前，一定要想到如何解決，一并發(fā)出來解決方案。到此為止:你應(yīng)該是已經(jīng)寫完了權(quán)限規(guī)劃文檔。1.4.1 信息采集(含整個方案流程)1 召集相關(guān)各部門領(lǐng)導(dǎo)通過會議討論或是與各組領(lǐng)導(dǎo)溝通確定權(quán)限管理方案的可行性。需要支持的人員:運維經(jīng)理、CTO支持、各部門組的領(lǐng)導(dǎo)。我們作為運維人員，拿著類似老師這個項目方案，給大家講解這個文檔，通過會議形式做演講，慷慨激昂的演說，取得大佬們的支持和認(rèn)可，才是項目能夠得以最終實施的前提，當(dāng)然，即使不實施

4、，那么，你的能力也得到了鍛煉，老大對你的積極主動思考網(wǎng)站架構(gòu)問題也會是另眼看待的。2 確定方案可行性后，會議負(fù)責(zé)人匯總、提交、審核所有相關(guān)員工對Linux服務(wù)器的權(quán)限需求。取得大佬們支持后，通過發(fā)郵件或者聯(lián)系相關(guān)人員取得需要的相關(guān)員工權(quán)限信息。比如說，請各個部門經(jīng)理整理歸類本部門需要登錄Linux權(quán)限的人員名單、職位、及負(fù)責(zé)的業(yè)務(wù)及權(quán)限，如果說不清權(quán)限細(xì)節(jié)，就說負(fù)責(zé)的業(yè)務(wù)細(xì)節(jié)，這樣運維人員就可以確定需要啥權(quán)限了。3按照需要執(zhí)行的Linux命令程序及公司業(yè)務(wù)服務(wù)來規(guī)劃權(quán)限和人員對應(yīng)配置，主要是運維人員根據(jù)上面收集的人員名單，需要的業(yè)務(wù)及權(quán)限角色，對應(yīng)賬號配置權(quán)限，實際就是配置sudo配置文件。4

5、權(quán)限方案一旦實施后，所有員工必須通過員工Linux服務(wù)器管理權(quán)限申請表來申請對應(yīng)的權(quán)限，確定審批流程，規(guī)范化管理。這里實施后把主權(quán)限申請流程很重要，否則，大家不聽話，方案實施玩也會泡湯的。5寫操作說明，對各部門人員進(jìn)行操作講解。Sudo執(zhí)行命令，涉及到PATH變量問題，運維提前處理好。人員名單職位負(fù)責(zé)的業(yè)務(wù)對應(yīng)服務(wù)器權(quán)限張三開發(fā)經(jīng)理blog業(yè)務(wù)要求all但是不能切換到root。1.4.2收集員工職能和對應(yīng)權(quán)限此過程是召集大家開會確定，或者請各組領(lǐng)導(dǎo)安排人員進(jìn)行統(tǒng)計匯總，人員及對應(yīng)的工作職責(zé)，交給運維人員，由運維人員優(yōu)化職位所對應(yīng)的系統(tǒng)權(quán)限。1.運維組級別權(quán)限初級運維a,b,c,d查看系統(tǒng)個信息

6、，查看網(wǎng)絡(luò)狀態(tài)/usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route高級運維 d,e,f查看系統(tǒng)信息，查看和修改網(wǎng)絡(luò)配置，進(jìn)程管理，軟件包安裝，存儲管理/usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/nestat,/sbin/route,/sbin/iptables,/etc/init.d/network,/bin/nice,/bin/kill,/usr

7、/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/unmount運維經(jīng)理超級用戶所有權(quán)限（all）2.開發(fā)組級別權(quán)限初級開發(fā)root的查看權(quán)限，對應(yīng)查看日志的權(quán)限/usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls高級開發(fā)root查看的權(quán)限，對應(yīng)服務(wù)查看日志的權(quán)限，重啟對應(yīng)服務(wù)的權(quán)限/sbin/service

8、,/sbin/chkconfig,/usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls開發(fā)經(jīng)理項目所在服務(wù)器的ALL權(quán)限，不能修改root密碼ALL，/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,!/usr/sbin/visudo,!/bin/su,!/usr/bin/vi *sudoer*,/usr/bin/vim *sudoer*3.架構(gòu)組級別權(quán)限架構(gòu)工程師普通用戶權(quán)限不加人sudo 列表4.DBA組 級別權(quán)限初級DBA普通用戶權(quán)限不加入sudo列表高級DBA項目所在數(shù)據(jù)庫服務(wù)

9、器的all權(quán)限ALL，/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,!/usr/sbin/visudo,!/bin/su,!/usr/bin/vi *sudoer*,/usr/bin/vim *sudoer*5.網(wǎng)絡(luò)工程師級別權(quán)限初級網(wǎng)絡(luò)普通用戶權(quán)限不加入sudo列表高級網(wǎng)絡(luò)項目所在數(shù)據(jù)庫服務(wù)器的all權(quán)限ALL，/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,!/usr/sbin/visudo,!/bin/su,!/usr/bin/vi *sudoer*,/usr/bin/vim *sudoer*1.5

10、 模擬創(chuàng)建用戶角色首先創(chuàng)建3個初級運維，1個高級運維，1個網(wǎng)絡(luò)工程師，1個運維經(jīng)理，密碼統(tǒng)一是123456建立5個開發(fā)人員，屬于phpers 組再添加一個開發(fā)經(jīng)理和高級開發(fā)人員sudo配置文件# Command Aliases by jianghaoCmnd_Alias CY_CMD_1 = /usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/nestat,/sbin/routeCmnd_Alias GY_CMD_1 = /usr/bin/free,/usr/bin/iostat,/usr/b

11、in/top,/bin/hostname,/sbin/ifconfig,/bin/nestat,/sbin/route,/sbin/iptables,/etc/init.d/network,/bin/nice,/bin/kill,/usr/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/unmountCmnd_Alias CK_CMD_1 = /usr/bin/tail /a

12、pp/log*,/bin/grep /app/log*,/bin/cat,/bin/lsCmnd_Alias GK_CMD_1 = /sbin/service,/sbin/chkconfig,/usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls,/bin/sh /scripts/deploy.shCmnd_Alias GW_CMD_1 = /sbin/route,/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/iptables,/usr/shin/rfcom,/usr

13、/bin/wvdial,/sbin/iwconfig,/sbin/mii-tool,/bin/cat var/log/*#User_Alias by janghaoUser_Alias CHUJIADMINS = chuji001,chuji0022,chuji003User_Alias GWNETADMINS = net1User_Alias CHUJI_KAIFA = %phper#Runas_Alias by jianghaoRunas_Alias OP = root#pri configsenior1 ALL=(OP) GY_CMD_1manager1 ALL=(ALL) NOPASS

14、WD:ALLkaifamanager1 ALL=(ALL) ALL,/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,!/usr/sbin/visudo,!/bin/su,!/bin/vi *sudoer*,!/usr/bin/vim *sudoer*seniorphpers ALL=(ALL) GK_CMD_1CHUJIADMINS ALL=(OP) CY_CMD_1GWNETADMINS ALL=(OP) GW_CMD_1CHUJI_KAIFA ALL=(OP) CK_CMD_1注意1)別名要大寫2)路徑要全路徑3)用 “”換行我們查看一下是否生效

15、1.6、成功后發(fā)郵件周知所有人權(quán)限配置生效。并附帶操作說明，有必要的話，培訓(xùn)講解。1.7制定權(quán)限申請流程及申請表。見單獨文檔1.8后期維護(hù)不是特別緊急的需求，一律走申請流程。服務(wù)器多了，可以通過分發(fā)軟件批量分發(fā)/etc/sudoers(注意權(quán)限和語法檢查)。除了權(quán)限上的控制，在賬戶有效時間上也進(jìn)行了限制，現(xiàn)在線上多數(shù)用戶的權(quán)限為永久權(quán)限可以使用以下方式進(jìn)行時間上的控制，這樣才能讓安全最大化。/home/anca,/home/zuma，所有的程序都在賬戶目錄下面。啟動的時候也是通過這個賬戶。也可以不設(shè)置密碼，禁止密碼登錄。授權(quán)ALL在進(jìn)行排除有時會讓我們防不勝防，這種先開后關(guān)的策略并不是好的策略

16、。使用白名單機(jī)制。Sudo配置注意事項1) 命令別名下的成員必須是文件或目錄的絕對路徑。2) 別名名稱是包含大寫字母、數(shù)字、下劃線，如果是字母都要大寫。3) 一個別名下有多個成員，成員與成員之間，通過半角”,” 號分隔；成員必須是有效實際存在的。4) 別名成員受別名類型 Host_Alias、User_Alias、Runas_Alias、Cmnd_Alias制約，定義什么類型的別名，就要有什么類型的成員相匹配。5) 別名規(guī)則是每行算一個規(guī)則，如果一個別名規(guī)則一行容不下時，可以通過”來續(xù)行。6) 指定切換的用戶要用()括號括起來。如果省略括號，則默認(rèn)root用戶;如果括號里是ALL,則代表能切換

17、到所有用戶;7) 如果不需要密碼直接運行命令的，應(yīng)該加NOPASSWD:參數(shù)。8) 禁止某類程序或命令執(zhí)行，要在命令動作前面加上”!”號，并且放在允許執(zhí)行命令的后面。9) 用戶組前面必須加%號。2.企業(yè)項目案例2-用戶行為日志審計管理方案配置sudo命令用戶行為日志審計說明:所謂sudo命令日志審計，并不記錄普通用戶的普通操作。而是記錄那些執(zhí)行sudo命令的用戶的操作。生產(chǎn)環(huán)境日志審計解決方案：所謂日志審計，就是記錄所有系統(tǒng)及相關(guān)用戶行為的信息，并且可以自動分析、處理、展示(包括文本或者錄像)法1)通過環(huán)境變量命令及syslog服務(wù)進(jìn)行日志審計(信息太大,不推薦)。法2)sudo配合syslo

18、g服務(wù)，進(jìn)行日志審計(信息較少，效果不錯)。法3)在bash解釋器程序里嵌入一個監(jiān)視器，讓所有被審計的系統(tǒng)用戶使用修改過的增加了監(jiān)視器的特殊bash程序作為解釋程序。法4）：齊治的堡壘機(jī)：商業(yè)產(chǎn)品本文主要講解的是sudo日志審計：專門使用sudo命令的系統(tǒng)用戶來記錄其執(zhí)行的命令相關(guān)信息。1、 安裝sudo命令，syslog服務(wù)rootjianghao # rpm -qa|egrep sudo|syslog sudo-1.8.6p3-12.el6.x86_64rsyslog-5.8.10-8.el6.x86_64如果沒有安裝則執(zhí)行下面的命令安裝:rootjianghao # rpm -qa|eg

19、rep sudo|syslog2、 配置/etc/sudoers增加配置”Defaults logfile=/var/log/sudo.log”到/etc/sudoers中,注意:不包括引號。rootjianghao # echo Defaults logfile=/var/log/sudo.log/etc/sudoersrootjianghao # tail -1 /etc/sudoersDefaults logfile=/var/log/sudo.logrootjianghao # visudo c #檢查sudoers文件語法etc/sudoers: parsed OK提示:下面的3、4

20、可以不執(zhí)行，直接切換到普通操作，然后查看/var/log/sudo.log有無操作。3、 配置系統(tǒng)日志文件/etc/rsyslog.conf增加配置”local2.debug /var/log/sudo.log”到/etc/rsyslog.conf中rootjianghao # echo local2.debug /var/log/sudo.log/etc/rsyslog.conf rootjianghao # tail -1 /etc/rsyslog.conf local2.debug /var/log/sudo.log4、 重啟syslog內(nèi)核日志記錄器rootjianghao # /et

21、c/init.d/rsyslog restart此時，會自動建立一個/var/log/sudo.log文件(日志中配置的名字)并且文件權(quán)限為600，所有者和組均為root(如果看不見日志文件，就退出重新登錄看看)。5、 測試sudo日志審計結(jié)果jianghao用戶擁有sudo權(quán)限，chuji001沒有/usr/bin/sudo權(quán)限。jianghaojianghao $ sudo su chuji001jianghao $ sudo su -日志集中管理(了解):1、 rsync+inotify或定時任務(wù)+rsync,推到日志管理服務(wù)器上，10.0.0.7_201760612.sudo.log2、 rsyslog服務(wù)來處理rootljianghao # echo 10.0.2.164 logserver/etc/hostsrootljianghao # echo *.info logserver/etc/rsyslog.conf3、日志收集解決方案:scribe,flume,stom,logstash