用戶權(quán)限集中管理方案(共8頁).docx

上傳人：6****

文檔編號(hào)：6204502

上傳時(shí)間：2021-12-01

格式：DOCX

頁數(shù)：9

大?。?84.94KB

《用戶權(quán)限集中管理方案(共8頁).docx》由會(huì)員分享，可在線閱讀，更多相關(guān)《用戶權(quán)限集中管理方案(共8頁).docx（9頁珍藏版）》請(qǐng)?jiān)趨R文網(wǎng)上搜索。

1、精選優(yōu)質(zhì)文檔-傾情為你奉上1 企業(yè)生產(chǎn)環(huán)境用戶權(quán)限集中管理項(xiàng)目方案案例1.1問題現(xiàn)狀當(dāng)前我們公司里服務(wù)器上百臺(tái)，各個(gè)服務(wù)器上的管理人員很多(開發(fā)+運(yùn)維+架構(gòu)+DBA+產(chǎn)品+市場(chǎng))，在大家登錄使用Linux服務(wù)器時(shí)，不同職能的員工水平不同，因此導(dǎo)致操作很不規(guī)范，root權(quán)限泛濫(幾乎大多數(shù)人員都有root權(quán)限),經(jīng)常導(dǎo)致文件等莫名其妙的丟失，老手和新手員工對(duì)服務(wù)器的熟知度也不同，這樣使得公司服務(wù)器安全存在很大的不穩(wěn)定性，及操作安全隱患，據(jù)調(diào)查企業(yè)服務(wù)器環(huán)境，50%以上的安全問題都來自內(nèi)部，而不是外部。為了解決以上問題，單個(gè)用戶管理權(quán)限過大現(xiàn)狀，現(xiàn)提出針對(duì)Linux服務(wù)器用戶權(quán)限集中管理的解決方案

2、。1.2項(xiàng)目需求我們既希望超級(jí)用戶root密碼掌握在少數(shù)或唯一的管理員手中，又希望多個(gè)系統(tǒng)管理員或相關(guān)有權(quán)限的人員，能夠完成更多更復(fù)雜的自身職能相關(guān)的工作，又不至于越權(quán)操作導(dǎo)致系統(tǒng)安全隱患。那么，如何解決多個(gè)系統(tǒng)管理員都能管理系統(tǒng)而又不讓超級(jí)權(quán)限泛濫的需求呢?這就需要sudo管理來代替或結(jié)合su 命令來完成這樣的苛刻且必要的企業(yè)服務(wù)器用戶管理需求。1.3 具體實(shí)現(xiàn)針對(duì)公司里不同的部門，根據(jù)員工的具體工作職能(例如:開發(fā)，運(yùn)維，數(shù)據(jù)庫管理員)，分等級(jí)，分層次的實(shí)現(xiàn)對(duì)Linux服務(wù)器管理的權(quán)限最小化、規(guī)范化。這樣既減少了運(yùn)維管理成本，消除了安全隱患，又提高了工作效率，實(shí)現(xiàn)了高質(zhì)量的、快速化的完成項(xiàng)

3、目進(jìn)度，以及日常系統(tǒng)維護(hù)。1.4 實(shí)施方案說明:實(shí)施方案一般是由積極主動(dòng)發(fā)現(xiàn)問題的運(yùn)維人員提出的問題，然后寫好方案，在召集大家討論可行性，最后確定方案，實(shí)施部署，最后后期總結(jié)維護(hù)。思想:在提出問題之前，一定要想到如何解決，一并發(fā)出來解決方案。到此為止:你應(yīng)該是已經(jīng)寫完了權(quán)限規(guī)劃文檔。1.4.1 信息采集(含整個(gè)方案流程)1 召集相關(guān)各部門領(lǐng)導(dǎo)通過會(huì)議討論或是與各組領(lǐng)導(dǎo)溝通確定權(quán)限管理方案的可行性。需要支持的人員:運(yùn)維經(jīng)理、CTO支持、各部門組的領(lǐng)導(dǎo)。我們作為運(yùn)維人員，拿著類似老師這個(gè)項(xiàng)目方案，給大家講解這個(gè)文檔，通過會(huì)議形式做演講，慷慨激昂的演說，取得大佬們的支持和認(rèn)可，才是項(xiàng)目能夠得以最終實(shí)

4、施的前提，當(dāng)然，即使不實(shí)施，那么，你的能力也得到了鍛煉，老大對(duì)你的積極主動(dòng)思考網(wǎng)站架構(gòu)問題也會(huì)是另眼看待的。2 確定方案可行性后，會(huì)議負(fù)責(zé)人匯總、提交、審核所有相關(guān)員工對(duì)Linux服務(wù)器的權(quán)限需求。取得大佬們支持后，通過發(fā)郵件或者聯(lián)系相關(guān)人員取得需要的相關(guān)員工權(quán)限信息。比如說，請(qǐng)各個(gè)部門經(jīng)理整理歸類本部門需要登錄Linux權(quán)限的人員名單、職位、及負(fù)責(zé)的業(yè)務(wù)及權(quán)限，如果說不清權(quán)限細(xì)節(jié)，就說負(fù)責(zé)的業(yè)務(wù)細(xì)節(jié)，這樣運(yùn)維人員就可以確定需要啥權(quán)限了。3按照需要執(zhí)行的Linux命令程序及公司業(yè)務(wù)服務(wù)來規(guī)劃?rùn)?quán)限和人員對(duì)應(yīng)配置，主要是運(yùn)維人員根據(jù)上面收集的人員名單，需要的業(yè)務(wù)及權(quán)限角色，對(duì)應(yīng)賬號(hào)配置權(quán)限，實(shí)際就

5、是配置sudo配置文件。4權(quán)限方案一旦實(shí)施后，所有員工必須通過員工Linux服務(wù)器管理權(quán)限申請(qǐng)表來申請(qǐng)對(duì)應(yīng)的權(quán)限，確定審批流程，規(guī)范化管理。這里實(shí)施后把主權(quán)限申請(qǐng)流程很重要，否則，大家不聽話，方案實(shí)施玩也會(huì)泡湯的。5寫操作說明，對(duì)各部門人員進(jìn)行操作講解。Sudo執(zhí)行命令，涉及到PATH變量問題，運(yùn)維提前處理好。人員名單職位負(fù)責(zé)的業(yè)務(wù)對(duì)應(yīng)服務(wù)器權(quán)限張三開發(fā)經(jīng)理blog業(yè)務(wù)要求all但是不能切換到root。1.4.2收集員工職能和對(duì)應(yīng)權(quán)限此過程是召集大家開會(huì)確定，或者請(qǐng)各組領(lǐng)導(dǎo)安排人員進(jìn)行統(tǒng)計(jì)匯總，人員及對(duì)應(yīng)的工作職責(zé)，交給運(yùn)維人員，由運(yùn)維人員優(yōu)化職位所對(duì)應(yīng)的系統(tǒng)權(quán)限。1.運(yùn)維組級(jí)別權(quán)限初級(jí)運(yùn)維a

6、,b,c,d查看系統(tǒng)個(gè)信息，查看網(wǎng)絡(luò)狀態(tài)/usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route高級(jí)運(yùn)維 d,e,f查看系統(tǒng)信息，查看和修改網(wǎng)絡(luò)配置，進(jìn)程管理，軟件包安裝，存儲(chǔ)管理/usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/nestat,/sbin/route,/sbin/iptables,/etc/init.d/network,/bin/nice,/

7、bin/kill,/usr/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/unmount運(yùn)維經(jīng)理超級(jí)用戶所有權(quán)限（all）2.開發(fā)組級(jí)別權(quán)限初級(jí)開發(fā)root的查看權(quán)限，對(duì)應(yīng)查看日志的權(quán)限/usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls高級(jí)開發(fā)root查看的權(quán)限，對(duì)應(yīng)服務(wù)查看日志的權(quán)限，重啟對(duì)應(yīng)服務(wù)的權(quán)限

8、/sbin/service,/sbin/chkconfig,/usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls開發(fā)經(jīng)理項(xiàng)目所在服務(wù)器的ALL權(quán)限，不能修改root密碼ALL，/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,!/usr/sbin/visudo,!/bin/su,!/usr/bin/vi *sudoer*,/usr/bin/vim *sudoer*3.架構(gòu)組級(jí)別權(quán)限架構(gòu)工程師普通用戶權(quán)限不加人sudo 列表4.DBA組級(jí)別權(quán)限初級(jí)DBA普通用戶權(quán)限不加入sudo列表高

9、級(jí)DBA項(xiàng)目所在數(shù)據(jù)庫服務(wù)器的all權(quán)限ALL，/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,!/usr/sbin/visudo,!/bin/su,!/usr/bin/vi *sudoer*,/usr/bin/vim *sudoer*5.網(wǎng)絡(luò)工程師級(jí)別權(quán)限初級(jí)網(wǎng)絡(luò)普通用戶權(quán)限不加入sudo列表高級(jí)網(wǎng)絡(luò)項(xiàng)目所在數(shù)據(jù)庫服務(wù)器的all權(quán)限ALL，/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,!/usr/sbin/visudo,!/bin/su,!/usr/bin/vi *sudoer*,/usr/bin/vi

10、m *sudoer*1.5 模擬創(chuàng)建用戶角色首先創(chuàng)建3個(gè)初級(jí)運(yùn)維，1個(gè)高級(jí)運(yùn)維，1個(gè)網(wǎng)絡(luò)工程師，1個(gè)運(yùn)維經(jīng)理，密碼統(tǒng)一是建立5個(gè)開發(fā)人員，屬于phpers 組再添加一個(gè)開發(fā)經(jīng)理和高級(jí)開發(fā)人員sudo配置文件# Command Aliases by jianghaoCmnd_Alias CY_CMD_1 = /usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/nestat,/sbin/routeCmnd_Alias GY_CMD_1 = /usr/bin/free,/usr/bin/iostat

11、,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/nestat,/sbin/route,/sbin/iptables,/etc/init.d/network,/bin/nice,/bin/kill,/usr/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/unmountCmnd_Alias CK_CMD_1 = /usr/bin/

12、tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/lsCmnd_Alias GK_CMD_1 = /sbin/service,/sbin/chkconfig,/usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls,/bin/sh /scripts/deploy.shCmnd_Alias GW_CMD_1 = /sbin/route,/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/iptables,/usr/shin/rfc

13、om,/usr/bin/wvdial,/sbin/iwconfig,/sbin/mii-tool,/bin/cat var/log/*#User_Alias by janghaoUser_Alias CHUJIADMINS = chuji001,chuji0022,chuji003User_Alias GWNETADMINS = net1User_Alias CHUJI_KAIFA = %phper#Runas_Alias by jianghaoRunas_Alias OP = root#pri configsenior1 ALL=(OP) GY_CMD_1manager1 ALL=(ALL)

14、 NOPASSWD:ALLkaifamanager1 ALL=(ALL) ALL,/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,!/usr/sbin/visudo,!/bin/su,!/bin/vi *sudoer*,!/usr/bin/vim *sudoer*seniorphpers ALL=(ALL) GK_CMD_1CHUJIADMINS ALL=(OP) CY_CMD_1GWNETADMINS ALL=(OP) GW_CMD_1CHUJI_KAIFA ALL=(OP) CK_CMD_1注意1)別名要大寫2)路徑要全路徑3)用 “”換行我們查看一下是否生效1.6、成功后發(fā)郵件周知所有人權(quán)限配置生效。并附帶操作說明，有必要的話，培訓(xùn)講解。1.7制定權(quán)限申請(qǐng)流程及申請(qǐng)表。見單獨(dú)文檔1.8后期維護(hù)不是特別緊急的需求，一律走申請(qǐng)流程。服務(wù)器多了，可以通過分發(fā)軟件批量分發(fā)/etc/sudoers(注意權(quán)限和語法檢查)。除了權(quán)限上的控制，在賬戶有效時(shí)間上也進(jìn)行了限制，現(xiàn)在線上多數(shù)用戶的權(quán)限為永久權(quán)限可以使用以下方式進(jìn)行時(shí)間上的控制，這樣才能讓安全最大化。/home/anca,/home/zuma，所有的程序都在賬戶目錄下面。啟動(dòng)的時(shí)候也是通過這個(gè)賬戶。也可以不設(shè)置密碼，禁止密碼登錄。授權(quán)ALL在進(jìn)行排除有時(shí)會(huì)讓我們防不勝防，

下載提示：本站僅提供存儲(chǔ)空間/不修改/不編輯

1.請(qǐng)仔細(xì)閱讀文檔，確保文檔完整性，對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
2.下載的文檔，不會(huì)出現(xiàn)我們的網(wǎng)址水印。
3、該文檔所得收入（下載+內(nèi)容+預(yù)覽）歸上傳者、原創(chuàng)作者；如果您是本文檔原作者，請(qǐng)點(diǎn)此認(rèn)領(lǐng)！既往收益都?xì)w您。

同意并開始全文預(yù)覽

文檔包含非法信息？點(diǎn)此舉報(bào)后獲取現(xiàn)金獎(jiǎng)勵(lì)！

文檔加載中……請(qǐng)稍候！
如果長(zhǎng)時(shí)間未打開，您也可以點(diǎn)擊刷新試試。

下載文檔到電腦，查找使用更方便

20 積分

下載	加入VIP,下載共享資源

還剩頁未讀，繼續(xù)閱讀

舉報(bào)

版權(quán)申訴 word格式文檔無特別注明外均可編輯修改；預(yù)覽文檔經(jīng)過壓縮，下載后原文更清晰！ 立即下載

配套講稿：: 如PPT文件的首頁顯示word圖標(biāo)，表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
特殊限制：: 部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片，僅作為作品整體效果示例展示，禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
關(guān) 鍵詞：: 用戶權(quán)限集中管理方案

匯文網(wǎng)所有資源均是用戶自行上傳分享，僅供網(wǎng)友學(xué)習(xí)交流，未經(jīng)上傳用戶書面授權(quán)，請(qǐng)勿作他用。

關(guān)于本文

本文標(biāo)題：用戶權(quán)限集中管理方案(共8頁).docx
鏈接地址：http://zhizhaikeji.com/p-6204502.html

相關(guān)資源更多

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)集中式管理方案(共8頁).docx

相關(guān)搜索

用戶權(quán)限 集中管理方案

關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

客服QQ:2660337891

手機(jī)：13423958347
匯文網(wǎng)版權(quán)所有聯(lián)系郵箱：2660337891#qq.com （請(qǐng)把#改為@）
鄂ICP備2022007403號(hào)，本站可開發(fā)票，需開票聯(lián)系客服QQ。