root用户是超级管理员,差不多等于win的administer,在实际环境中,一般不会直接登录超级用户,而是使用root用户给相应用户进行授权。
而如何授权,又会根据角色的不同,然后根据实际情况而定。
当部门和人员较为简单的时候,可以直接visudo,在里面添加对应的内容,一般来说对于添加在文件中的哪里,没有具体要求,但是为了规范书写,一般是添加在:
Allow root to run any commands anywhere
root ALL=(ALL) ALL
这两行下面就行。
但一般最好还是给不同权限的人员写一个单独的文件,具体如下:
/etc/sudoers.d/01-sysadmins # 系统管理员
/etc/sudoers.d/02-developers # 开发人员
/etc/sudoers.d/03-dbas # 数据库管理员
/etc/sudoers.d/04-webops # 网站运维
/etc/sudoers.d/05-monitoring # 监控角色
/etc/sudoers.d/06-readonly # 只读权限
系统管理员:
vim /etc/sudoers.d/01-sysadmins
User_Alias SYS_ADMINS = admin1, admin2, admin3, alice, bob
#这是给对应的管理员设置一个别名这里要把它和groupadd区分开来,groupadd 创建的是真实的系统用户组,影响整个系统User_Alias 创建的是sudo专用的虚拟分组,只影响sudo权限)
SYS_ADMINS ALL=(ALL) ALL, \
!/usr/bin/rm -rf /, \
!/usr/bin/dd, \
!/usr/bin/mkfs.*, \
!/usr/bin/fdisk, \
!/usr/bin/passwd root, \
!/usr/bin/visudo, \
!/usr/bin/su - root, \
!/usr/bin/chmod 777 /, \
!/usr/bin/* /etc/sudoers* #防止管理员修改权限
#简化版权限设置,通过非,禁止系统管理用户使用以上命令,以防止对生产环境造成不可挽回的损失。
# 安全设置
Defaults:SYS_ADMINS requiretty #强制必须在终端中使用sudo,防止cron、脚本、API等非终端方式执行sudo
Defaults:SYS_ADMINS timestamp_timeout=15 # sudo密码失效时间
Defaults:SYS_ADMINS passwd_tries=3 #sudo密码最大尝试次数,防止暴力破解
Defaults:SYS_ADMINS syslog=auth #sudo操作记录到系统日志,可以溯源对象在何时何地做了什么事情
以上就是系统管理员的简化设置,如有增删,可通过root用户修改,或者单独设置一个仅次于root的用户赋予他修改文件的权限即可。
发表回复