一、问题现状
公司生产服务器通常上百台,甚至上千台上万台,操作人员很多(开发+运维+架构+DBA)。大家使用Linux服务器时,不同职能的员工水平不同,老手和新手员工熟知度不同,如果权限控制不当(如root权限泛滥),服务器的安全存在极大隐患。为此,运维人员一般有一套系统用户及权限标准规范。
二、标准规范
超级用户密码掌握在少数或者唯一的管理员手中,又希望多个系统管理员或相关权限的人员,能够完成更多更复杂的自身职能相关的工作,又不至于越权操作导致系统安全隐患。
最小原则
- 1、安装软件最小化 。
- 2、目录文件权限最小化。
- 3、用户权限最小化。
- 4、程序权限运行最小化
三、规范案例
1、root【系统最高权限用户】具备所有权限,用户系统级别管理维护使用。
2、work【线上业务服务运行用户】具备相关服务控制管理权限以及部分系统权限。
3、user【普通用户权限】用于登录服务器查看业务日志、配置以及运行一些简单脚本,有权读取、无权操纵管理线上业务服务及系统配置。
4、read readonly账号,仅有登录服务器后的读取权限,无任何写入权限。
5、dia【日志数据收集专用用户】线上业务服务日志数据收集专用用户,仅对业务服务日志有读取权限以及运行日志抓取相关程序或脚本的权限。
来源:oschina
链接:https://my.oschina.net/u/4406332/blog/4464087