服務器用戶權限 sudo 管理

1.問題現狀

"面對攜程事件，大家公司的服務器權限從新規劃了嗎？"

1.sudo 權限管理部署

1.1. 項目說明
當前咱們公司服務器上百臺，各個服務器上的管理人員不少(開發+運維+架構+DBA+產品+市場)，在你們登陸使用 linux 服務器時，不一樣職能的員工水平不一樣，所以致使操做不規範。root 權限氾濫(幾乎大部分人都有 root 權限)，常常致使文件莫名奇妙的丟失，老手和新手對服務器的熟知程度也不一樣，這樣使得公司服務器安全存在很大的不穩定性，及操做的安全性。據調查企業服務器環境，50%以上的安全問題都來自於內部，而不是外部。爲了解決以上問題，單個用戶權限過大現狀，如今提出針對 Linux 服務器用戶權限幾種管理的解決方案。
項目實施：
1.發現這個狀況，撰寫文檔提交給老大，召集你們開會
2.討論肯定可行以後，由我來推動負責實施
3.實施後，公司的服務器權限管理更加清晰，便於維護管理
4.指定帳號權限申請流程以及權限申請表格
具體狀況分析：
企業生產環境用戶權限幾種管理項目方案案列
1.問題現狀
當前咱們公司服務器上百臺，各個服務器上的管理人員不少(開發+運維+架構+DBA+產品+市場)，在你們登陸使用 linux 服務器時，不一樣職能的員工水平不一樣，所以致使操做不規範。root 權限氾濫(機會大部分人都有 root 權限)，常常致使文件莫名奇妙的丟失，老手和新手對服務器的熟知程度也不一樣，這樣使得公司服務器安全存在很大的不穩定性，及操做的安全性。據調查企業服務器環境，50%以上的安全問題都來自於內部，而不是外部。爲了解決以上問題，單個用戶權限過大現狀，如今提出針對 Linux 服務器用戶權限幾種管理的解決方案。
2.項目需求
但願超級用戶 root 密碼掌握在少數或惟一的管理員手中，有但願多個系統管理員或相關權限的人員，可以完成更多複雜的自身職能相關的工做，又不至於越權操做致使系統安全隱患，那麼，如何解決多個系統管理員都能管理系統而又不讓超級權限氾濫的需求呢？這就須要 sudo 管理來代替或結合 su 命令來完成這樣的苛刻且必要的企業服務器用戶管理要求。
3.具體實現
針對公司裏不一樣的部門，根據員工的具體工做職能(例如：開發，運維，數據庫管理員)分等級、分層次的實現對 linux 服務器管理的權限最小化、規範化。這樣減小了運維管理成本，消除了安全隱患，有提升了工做效率，實現了高質量的、快速化的完成項目進度以及平常的系統維護。
4.項目實施
說明：在實施方案以前必定要提交給老大，召集開會討論部署實施方案的過程，而後總結後期如何維護。
思想：在提出問題以前，必定要想到如何解決，一併發出來解決方案
5.信息的採集( 包含整個方案流程)
1.1 召集相關各部門領導經過會議討論或是與各組領導溝通肯定權限管理方案的可行性。須要支持的人員：運維經理或總監、CTO 支持、各部門組的領導。做爲運維人員，須要取得大佬們的支持和承認，纔是項目可以得以實施的前提。
1.2 肯定方案可行性後，會議負責人彙總、提交、審覈全部相關員工對 Linux 服務器權限需求。取得大佬們的支持後，經過發送郵件或者聯繫相關人員取得須要的相關員工權限信息。好比說，請各個部門經理整理歸類本部門須要登錄 linux 權限的人員名單、職位、及負責的業務及權限，若是說不清楚權限細節，就說負責業務細節，這樣運維人員就能夠肯定須要什麼權限。
1.3 按照須要執行的 linux 命令程序以及公司業務服務來規劃權限和人員對應配置主要是運維人員根據上面收集的人員名單，須要的業務及權限角色，對應帳號配置權限，實際就是配置 sudo 配置文件。
1.4 權限方案一旦實施後，全部員工必須經過《員工 Linux 服務器管理權限申請表》來申請對應的權限，肯定審批流程，規範化管理。這裏實施後把持住權限申請流程很重要，不然，你們不聽話實施方案也可能會泡湯。
1.5 寫好操做說明，對各部門人員進行操做講解。sudo 執行命令，實際到 PATH 變量問題，運維提早處理好。
2.收集員工職能對應權限
此過程是召集你們開會肯定，或者請各組領導安排人員進行統計彙總，人員及對應的工做職責，交給運維人員，由運維人員優化職位對應的系統權限。

2.1 模擬建立用戶角色

1)創建 3 個初級運維，一個高級運維，一個網絡工程師，一個運維經理，密碼統一是 123456

for user in chuji001 chuji002 chuji003 senior001 net001 manager001
do
useradd $user
echo "123456"|passwd --stdin $user
done

待續……