运维人员权限分配

目录

  • 用户身份切换
  • 用户身份提权
  • 例:
    • sudo免密码配置选项
    • sudo组配置

用户身份切换

如何在普通用户的情况下,完成日常工作?
1)`su` 切换用户,使用普通用户登录,然后使用su命令切换到root。
优点:简单,方便
缺点:需要知道root密码,不安全,切换到root没有日志审计功能

2)`sudo` 提权,当需要使用root权限时,进行提权,而无需切换至root用户。
优点:安全,方便
缺点:复杂
su
-
-c:不切换用户,使用用户身份执行命令
缺点:需要知道root的密码

sudo
当普通用户需要执行root才能执行的命令时,需要提权
缺点:配置复杂

#给予运维人员权限须知:
· 给予权限可以给所有权限,但是将su,vim,rm命令禁用,su命令禁用是为了避免用户在只知道自己密码的情况进行提权切换用户,这样只需要知道自己的密码也可以切换至root用户,另外也需要禁止root用户通过ssh连接至本机

visudo  = vim /etc/sudoers
username ALL=(ALL) ALL
username ALL=(ALL) ALL,!/bin/su,!/bin/vim,!/bin/vi,!/bin/rm,/bin/ifconfig,/bin/netstat

用户身份提权

#centos7的提权
## sudo 提权
usermod zls -G wheel

1.将用户加入到 sudoers 文件中
2.将用户加入到 sudoers 文件中设置的组里

[[email protected] ~]# visudo
1.用户名      2.主机名   3.角色名       4.命令名
root            ALL=    (ALL)           ALL

#centos6的提权
#1.系统安装后就有sudo命令,如果没有sudo命令,可通过如下方式安装
[[email protected] ~]# yum install -y sudo

#2.使用`visudo`命令编辑sudo配置文件, 相当于 vim /etc/sudoers`配置文件
[[email protected] ~]# visudo  #会对配置进行验证
zls ALL=(ALL) /bin/rm, /bin/cp  #新增

#3.配置选项详解
1.用户名      2.主机名   3.角色名       4.命令名
root            ALL=    (ALL)           ALL
zls      ALL     使用最高角色执行    /bin/rm, /bin/cp #允许使用sudo执行命令
zls   ALL=(ALL)  NOPASSWD:/bin/cp, /bin/rm   //不需要密码使用rm、cp命令

#4.使用visudo -c检查配置文件
[[email protected] ~]# visudo  -c
/etc/sudoers: parsed OK

例:

sudo免密码配置选项

#1.普通用户执行sudo不需要输入密码配置
[[email protected] ~]# visudo
zls ALL=(ALL) /bin/rm, /bin/cp  #默认
zls   ALL=(ALL)  NOPASSWD:/bin/rm, /bin/cp  #修改后

#2.默认普通用户无权删除
[[email protected] ~]$ rm -f /root/002
rm: cannot remove `/root/002‘: Permission denied

#3.验证sudo免密码执行权限
[[email protected] ~]$ sudo rm -f /root/002

sudo组配置

//如果每增加一个用户需配置一行sudo,这样设置非常麻烦。所以可以进行如下设置

%zls  ALL=(ALL)     NOPASSWD:/bin/rm, /bin/cp  #新增组
//group1这个组的所有用户都拥有sudo的权力。接下来只需要将用户加入该组即可。

//创建用户加入该组
[[email protected] ~]# groupadd zls
[[email protected] ~]# useradd zls1 -g zls
[[email protected] ~]# useradd zls2 -g zls

//root用户建立目录
[[email protected] ~]# mkdir /root/zls_sudo

//切换用户并删除测试
[[email protected] ~]# su - zls1
[[email protected] ~]$ rm -rf /root/zls_sudo
rm: cannot remove `/root/zls_sudo‘: Permission denied

//使用sudo
[[email protected] ~]$ sudo rm -rf /root/zls_sudo

原文地址:https://www.cnblogs.com/tcy1/p/12622439.html

时间: 2024-11-09 03:00:19

运维人员权限分配的相关文章

Linux运维人员共用root帐户权限审计

在中小型企业,公司不同运维人员基本都是以root 账户进行服务器的登陆管理,缺少了账户权限审计制度.不出问题还好,出了问题,就很难找出源头. 这里介绍下,如何利用编译bash 使不同的客户端在使用root 登陆服务器使,记录各自的操作,并且可以在结合ELK 日志分析系统,来收集登陆操作日志 1.下载编译bash wget http://ftp.gnu.org/gnu/bash/bash-4.4.tar.gz tar -xvf bash-4.4.tar.gz cd /root/bash-4.4 2

Linux 之不同运维人员共用root 账户权限审计

一.为什么? 在中小型企业,公司不同运维人员基本都是以root 账户进行服务器的登陆管理,缺少了账户权限审计制度.不出问题还好,出了问题,就很难找出源头. 这里介绍下,如何利用编译bash 使不同的客户端在使用root 登陆服务器使,记录各自的操作,并且可以在结合ELK 日志分析系统,来收集登陆操作日志 二.环境 服务器:centos 6.5.Development tools.使用密钥认证,SElinux 关闭. 客户端:生成密钥对,用于登录服务器 (2台) 三.搭建部署 (服务器操作 192

智能运维就是由 AI 代替运维人员?

听了有关AI运维之后有很多人感到比较焦虑,我所从事的运维或开发将来会不会被AI给替代掉呢? 现在新技术发展的特别快,各种语言.技术.理念让大家确实感到自顾不暇跟不上趟,但是有一点,在这里我要特别重申一下,AI在目前这个阶段还是一种辅助大家来进行判断和学习.定位处理问题的工具,就像无人驾驶,现在可以做到完全没有人驾驶吗?肯定不行,未来无人驾驶是完全可以替代人的,但它还有很长一段路要走.AI运维就像无人驾驶一样,未来前景很光明,但任重道远. 大部分的智能运维还没有完全落地,我所在的企业也是处在一个探

【运维者说】程序员玩跨界,错在运维人员

在很多交流场合,我们或多或少能听到有小伙伴抱怨运维岗位工作没有得到老板或者公司同事的认可,这怪谁呢?私以为只能怪运维岗位的各位同行,为什么这么讲呢?我这个攒了很久的大招,今天终于可以释放出来了. 恰逢看到田逸老师写的博客<程序员,请不要抢系统管理员的饭碗>以及文章下面各位同仁的评论内容,很多小伙伴基本上是从一个系统管理员的角度出发说出了安全问题的原因是程序员不应该这么做而这么做了,那程序员应该怎么做,他们知道吗?从这篇博客中描述的安全问题出发,田逸老师作为系统管理人员排查问题的思路非常清晰,对

【IT运维监控】讨论哪种运维监控工具才是IT运维人员的最爱?

选择运维工具的几大要素:一是看我哪些指标需要监控,二是看我监控到什么 三是看这种运维监控工具能监控到什么程度 有可能,这几个问题IT运维人员自己都没有弄的很明白,那么我们先看一下整个运维行业目前的现状: 目前来说,传统企业的IT运维大部分还是用户在使用过程中发现故障,然后通知运维人员,再邮运维人员确定是什么问题,采用哪种方式可以解决.大部分的运维人员目前还是充当的只是一个救火员的身份,没有起到真正的IT运维监控的作用.运维人员的大部分时间和经历都花在了处理简单而重复的问题上,导致同事及领导的不满

运维人员应人手一个GitHub帐号

最近在学习一些新东西,在实验环境下自己写的一些程序或脚本,觉得以后还能用的上,就想保存下来: 如果保存在本地或者U盘之类的移动存储中,以后重装系统或者U盘丢失也就损失了,而且作为一个IT从业人员,这年头文件不存储在云端,都不好意思说自己是混IT圈的: 最终选择了GitHub这个代码托管的网站,以后如果写出点像样的开源软件,还可以得到众多开发者的跟进,想想就挺美的!!! 所以今天就花了点时间整理了一下官方的配置使用文档,以帮助有同样需求且看英文文档费劲的同行们! #################

(转)Linux企业运维人员常用的150个命令分享

Linux企业运维人员常用的150个命令分享 原文:http://www.jb51.net/article/127014.htm 本文将向大家介绍Linux企业运维人员常用的150个命令,如有不足之处,还望海涵.当然更希望大家留言指出.希望对大家有所帮助! 命令 功能说明 线上查询及帮助命令(2个) man 查看命令帮助,命令的词典,更复杂的还有info,但不常用. help 查看Linux内置命令的帮助,比如cd命令. 文件和目录操作命令(18个) ls 全拼list,功能是列出目录的内容及其

Rsync为何会是运维人员必备技能之一?

Rsync是一款开源的.快速的.多功能的.可实现全量及增量的本地或远程数据同步备份的优秀工具,也是运维人员必备技能之一.那Rsync有什么特点使得它有如此的地位呢? 1.Rsync有啥特性? 1)支持拷贝特殊文件,比如连接文件.设备等 2)排除指定文件或目录同步,相当于打包命令的tar的排除 3)保持源文件或目录的权限.时间.软硬链接.属主.组等所有属性均不改变-p 4)增量同步,即只同步发生变化的数据,数据传输效率高,tar -N 5)使用rcp,rsh,ssh等方式来配合传输文件 6)可通过

测试及运维人员EZ体育源码出售最常用 150 个Linux命令汇总!

闲话少说,书归正传!EZ体育源码出售论坛:haozbbs.com Q1446595067下面整理了测试.运维人员常用的150个命令,希望对大家有所帮助! 命令功能说明线上查询及帮助命令 (2 个)man查看命令帮助,命令的词典,更复杂的还有 info,但不常用.help查看 Linux 内置命令的帮助,比如 cd 命令.文件和目录操作命令 (18 个)ls全拼 list,功能是列出目录的内容及其内容属性信息.cd全拼 change directory,功能是从当前工作目录切换到指定的工作目录.c