用户权限集中管理方案

1 企业生产环境用户权限集中管理项目方案案例企业生产环境用户权限集中管理项目方案案例 1 1 问题现状问题现状 当前我们公司里服务器上百台 各个服务器上的管理人员很多 开发 运维 架构 DBA 产品 市场 在大家登录使用 Linux 服务器时 不同职能的员工水 平不同 因此导致操作很不规范 root 权限泛滥 几乎大多数人员都有 root 权限 经常导致文件等莫名其妙的丢失 老手和新手员工对服务器的熟知度也不同 这样使得公司服务器安全存在很大的不稳定性 及操作安全隐患 据调查企业 服务器环境 50 以上的安全问题都来自内部 而不是外部 为了解决以上问 题 单个用户管理权限过大现状 现提出针对 Linux 服务器用户权限集中管理 的解决方案 1 2 项目需求项目需求 我们既希望超级用户 root 密码掌握在少数或唯一的管理员手中 又希望多 个系统管理员或相关有权限的人员 能够完成更多更复杂的自身职能相关的工 作 又不至于越权操作导致系统安全隐患 那么 如何解决多个系统管理员都能管理系统而又不让超级权限泛滥的需 求呢 这就需要 sudo 管理来代替或结合 su 命令来完成这样的苛刻且必要的企业 服务器用户管理需求 1 3 具体实现具体实现 针对公司里不同的部门 根据员工的具体工作职能 例如 开发 运维 数 据库管理员 分等级 分层次的实现对 Linux 服务器管理的权限最小化 规范 化 这样既减少了运维管理成本 消除了安全隐患 又提高了工作效率 实现 了高质量的 快速化的完成项目进度 以及日常系统维护 1 4 实施方案实施方案 说明 实施方案一般是由积极主动发现问题的运维人员提出的问题 然后写 好方案 在召集大家讨论可行性 最后确定方案 实施部署 最后后期总结维 护 思想 在提出问题之前 一定要想到如何解决 一并发出来解决方案 到此为止 你应该是已经写完了权限规划文档 1 4 1 信息采集信息采集 含整个方案流程含整个方案流程 1 召集相关各部门领导通过会议讨论或是与各组领导沟通确定权限管理方 案的可行性 需要支持的人员 运维经理 CTO 支持 各部门组的领导 我们作 为运维人员 拿着类似老师这个项目方案 给大家讲解这个文档 通过会议形 式做演讲 慷慨激昂的演说 取得大佬们的支持和认可 才是项目能够得以最 终实施的前提 当然 即使不实施 那么 你的能力也得到了锻炼 老大对你 的积极主动思考网站架构问题也会是另眼看待的 2 确定方案可行性后 会议负责人汇总 提交 审核所有相关员工对 Linux 服务器的权限需求 取得大佬们支持后 通过发邮件或者联系相关人员 取得需要的相关员工权限信息 比如说 请各个部门经理整理归类本部门需要 登录 Linux 权限的人员名单 职位 及负责的业务及权限 如果说不清权限细 节 就说负责的业务细节 这样运维人员就可以确定需要啥权限了 3 按照需要执行的 Linux 命令程序及公司业务服务来规划权限和人员对应 配置 主要是运维人员根据上面收集的人员名单 需要的业务及权限角色 对 应账号配置权限 实际就是配置 sudo 配置文件 4 权限方案一旦实施后 所有员工必须通过 员工 Linux 服务器管理权限 申请表 来申请对应的权限 确定审批流程 规范化管理 这里实施后把主权 限申请流程很重要 否则 大家不听话 方案实施玩也会泡汤的 5 写操作说明 对各部门人员进行操作讲解 Sudo 执行命令 涉及到 PATH 变量问题 运维提前处理好 人员名单职位负责的业务对应服务器权限 张三开发经理blog 业务要求 all 但是不能切 换到 root 1 4 2 收集员工职能和对应权限收集员工职能和对应权限 此过程是召集大家开会确定 或者请各组领导安排人员进行统计汇总 人 员及对应的工作职责 交给运维人员 由运维人员优化职位所对应的系统权限 1 运维组 级别权限 查看系统个信息 查看网络状态 初级运维 a b c d usr bin free usr bin iostat usr bin top bin hostname sbin ifconfig bin ne tstat sbin route 查看系统信息 查看和修改网络配置 进程管理 软件包安装 存储管理 高级运维 d e f usr bin free usr bin iostat usr bin top bin hostname sbin ifconfig bin ne stat sbin route sbin iptables etc init d network bin nice bin kill usr bi n kill usr bin killall bin rpm usr bin up2date usr bin yum sbin fdisk sbi n sfdisk sbin parted sbin partprobe bin mount bin unmount 运维经理超级用户所有权限 all 2 开发组 级别权限 root 的查看权限 对应查看日志的权限初级开发 usr bin tail app log bin grep app log bin cat bin ls root 查看的权限 对应服务查看日志的权限 重启对应服务的权限高级开发 sbin service sbin chkconfig usr bin tail app log bin grep app log bin cat bin ls 项目所在服务器的 ALL 权限 不能修改 root 密码开发经理 ALL usr bin passwd A Za z usr bin passwd root usr sbin visudo bin su usr bin vi sudoer usr bin vim sudoer 3 架构组 级别权限 普通用户权限架构工程师 不加人 sudo 列表 4 DBA 组 级别权限 普通用户权限初级 DBA 不加入 sudo 列表 高级 DBA项目所在数据库服务器的 all 权限 ALL usr bin passwd A Za z usr bin passwd root usr sbin visudo bin su usr bin vi sudoer usr bin vim sudoer 5 网络工程师 1 5 模拟创建用户角色模拟创建用户角色 首先创建 3 个初级运维 1 个高级运维 1 个网络工程师 1 个运维经理 密码统一是 建立 5 个开发人员 属于 phpers 组 再添加一个开发经理和高级开发人员 级别权限 普通用户权限 初级网络 不加入 sudo 列表 项目所在数据库服务器的 all 权限 高级网络 ALL usr bin passwd A Za z usr bin passwd root usr sbin visudo bin su usr bin vi sudoer usr bin vim sudoer sudo 配置文件 Command Aliases by jianghao Cmnd Alias CY CMD 1 usr bin free usr bin iostat usr bin top bin hostname sbin ifconfig bin nestat sbin route Cmnd Alias GY CMD 1 usr bin free usr bin iostat usr bin top bin hostname sbin ifconfig bin nestat sbin route sbin ipt ables etc init d network bin nice bin kill usr bin kill usr bin killall bin rpm usr bin up2date usr bin yum sbin fdisk sbin sfdisk sbin pa rted sbin partprobe bin mount bin unmount Cmnd Alias CK CMD 1 usr bin tail app log bin grep app log bin cat bin ls Cmnd Alias GK CMD 1 sbin service sbin chkconfig usr bin tail app log bin grep app log bin cat bin ls bin sh scripts deploy sh Cmnd Alias GW CMD 1 sbin route ifconfig bin ping sbin dhclient usr bin net sbin iptables usr shin rfcom usr bin wv dial sbin iwc onfig sbin mii tool bin cat var log User Alias by janghao User Alias CHUJIADMINS chuji001 chuji0022 chuji003 User Alias GWNETADMINS net1 User Alias CHUJI KAIFA phper Runas Alias by jianghao Runas Alias OP root pri config senior1 ALL OP GY CMD 1 manager1 ALL ALL NOPASSWD ALL kaifamanager1 ALL ALL ALL usr bin passwd A Za z usr bin passwd root usr sbin visudo bin su bin vi sudoer usr bin v im sudoer seniorphpers ALL ALL GK CMD 1 CHUJIADMINS ALL OP CY CMD 1 GWNETADMINS ALL OP GW CMD 1 CHUJI KAIFA ALL OP CK CMD 1 注意 1 别名要大写 2 路径要全路径 3 用 换行 我们查看一下是否生效 1 6 成功后发邮件周知所有人权限配置生效 并附带操作 成功后发邮件周知所有人权限配置生效 并附带操作 说明 有必要的话 培训讲解 说明 有必要的话 培训讲解 1 7 制定权限申请流程及申请表 制定权限申请流程及申请表 见单独文档 1 8 后期维护后期维护 不是特别紧急的需求 一律走申请流程 服务器多了 可以通过分发软件批量分发 etc sudoers 注意权限和语法检查 除了权限上的控制 在账户有效时间上也进行了限制 现在线上多数用户的权限为永久权限可以使用以下方式进行时间上的控制 这样才能让安 全最大化 home anca home zuma 所有的程序都在账户目录下面 启动的时候也是通 过这个账户 也可以不设置密码 禁止密码登录 授权 ALL 在进行排除有时会让我们防不胜防 这种先开后关的策略并不是好的策略 使用 白名单机制 Sudo 配置注意事项 1 命令别名下的成员必须是文件或目录的绝对路径 2 别名名称是包含大写字母 数字 下划线 如果是字母都要大写 3 一个别名下有多个成员 成员与成员之间 通过半角 号分隔 成员必须是有效实际 存在的 4 别名成员受别名类型 Host Alias User Alias Runas Alias Cmnd Alias 制约 定义什 么类型的别名 就要有什么类型的成员相匹配 5 别名规则是每行算一个规则 如果一个别名规则一行容不下时 可以通过 来续行 6 指定切换的用户要用 括号括起来 如果省略括号 则默认 root 用户 如果括号里是 ALL 则 代表能切换到所有用户 7 如果不需要密码直接运行命令的 应该加 NOPASSWD 参数 8 禁止某类程序或命令执行 要在命令动作前面加上 号 并且放在允许执行命令的后 面 9 用户组前面必须加 号 2 企业项目案例企业项目案例 2 用户行为日志审计管理方案用户行为日志审计管理方案 配置 sudo 命令用户行为日志审计 说明 所谓 sudo 命令日志审计 并不记录普通用户的普通操作 而是记录那些执行 sudo 命 令的用户的操作 生产环境日志审计解决方案 所谓日志审计 就是记录所有系统及相关用户行为的信息 并且可以自动分析 处理 展 示 包括文本或者录像 法 1 通过环境变量命令及 syslog 服务进行日志审计 信息太大 不推荐 法 2 sudo 配合 syslog 服务 进行日志审计 信息较少 效果不错 法 3 在 bash 解释器程序里嵌入一个监视器 让所有被审计的系统用户使用修改过的增加了 监视器的特殊 bash 程序作为解释程序 法 4 齐治的堡垒机 商业产品 本文主要讲解的是 sudo 日志审计 专门使用 sudo 命令的系统用户来记录其执行的命令相 关信息 1 安装 sudo 命令 syslog 服务 root jianghao rpm qa egrep sudo syslog sudo 1 8 6p3 12 el6 x86 64 rsyslog 5 8 10 8 el6 x86 64 如果没有安装则执行下面的命令安装 root jianghao rpm qa egrep sudo syslog 2 配置 etc sudoers 增加配置 Defaults logfile var log sudo log 到 etc sudoers 中 注意 不包括引号 root jianghao echo Defaults logfile var log sudo log etc sudoers root jianghao tail 1 etc sudoers Defaults logfile var log sudo log root jianghao visudo c 检查 sudoers 文件语法 etc sudoers parsed OK 提示 下面的 3 4 可以不执行 直接切换到普通操作 然后查看 var log sudo log 有无操作 3 配置系统日志文件 etc rsyslog conf 增加配置 local2 debug var