用户权限集中管理方案

1 企业生产环境用户权限集中管理项目方案案例

1.1问题现状

当前我们公司里服务器上百台，各个服务器上的管理人员很多(开发+运维+架构+DBA+产品+市场)，在大家登录使用Linux服务器时，不同职能的员工水平不同，因此导致操作很不规范，root权限泛滥(几乎大多数人员都有root权限),经常导致文件等莫名其妙的丢失，老手和新手员工对服务器的熟知度也不同，这样使得公司服务器安全存在很大的不稳定性，及操作安全隐患，据调查企业服务器环境，50%以上的安全问题都来自内部，而不是外部。为了解决以上问题，单个用户管理权限过大现状，现提出针对Linux服务器用户权限集中管理的解决方案。

1.2项目需求

我们既希望超级用户root密码掌握在少数或唯一的管理员手中，又希望多个系统管理员或相关有权限的人员，能够完成更多更复杂的自身职能相关的工作，又不至于越权操作导致系统安全隐患。

那么，如何解决多个系统管理员都能管理系统而又不让超级权限泛滥的需求呢?这就需要sudo管理来代替或结合su命令来完成这样的苛刻且必要的企业服务器用户管理需求。

1.3 具体实现

针对公司里不同的部门，根据员工的具体工作职能(例如:开发，运维，数据库管理员)，分等级，分层次的实现对Linux服务器管理的权限最小化、规范化。这样既减少了运维管理成本，消除了安全隐患，又提高了工作效率，实现了高质量的、快速化的完成项目进度，以及日常系统维护。

1.4 实施方案

说明:实施方案一般是由积极主动发现问题的运维人员提出的问题，然后写好方案，在召集大家讨论可行性，最后确定方案，实施部署，最后后期总结维护。

思想:在提出问题之前，一定要想到如何解决，一并发出来解决方案。

到此为止:你应该是已经写完了权限规划文档。

1.4.1 信息采集(含整个方案流程)

1 召集相关各部门领导通过会议讨论或是与各组领导沟通确定权限管理方案的可行性。需要支持的人员:运维经理、CTO支持、各部门组的领导。我们作为运维人员，拿着类似老师这个项目方案，给大家讲解这个文档，通过会议形式做演讲，慷慨激昂的演说，取得大佬们的支持和认可，才是项目能够得以最终实施的前提，当然，即使不实施，那么，你的能力也得到了锻炼，老大对你的积极主动思考网站架构问题也会是另眼看待的。

2 确定方案可行性后，会议负责人汇总、提交、审核所有相关员工对Linux 服务器的权限需求。取得大佬们支持后，通过发邮件或者联系相关人员取得需要的相关员工权限信息。比如说，请各个部门经理整理归类本部门需要登录Linux 权限的人员名单、职位、及负责的业务及权限，如果说不清权限细节，就说负责的业务细节，这样运维人员就可以确定需要啥权限了。

3按照需要执行的Linux命令程序及公司业务服务来规划权限和人员对应配置，主要是运维人员根据上面收集的人员名单，需要的业务及权限角色，对应账号配置权限，实际就是配置sudo配置文件。

4权限方案一旦实施后，所有员工必须通过《员工Linux服务器管理权限申请表》来申请对应的权限，确定审批流程，规范化管理。这里实施后把主权限申请流程很重要，否则，大家不听话，方案实施玩也会泡汤的。

5写操作说明，对各部门人员进行操作讲解。Sudo执行命令，涉及到PATH

1.4.2收集员工职能和对应权限

此过程是召集大家开会确定，或者请各组领导安排人员进行统计汇总，人员及对应的工作职责，交给运维人员，由运维人员优化职位所对应的系统权限。

1.5 模拟创建用户角色

首先创建3个初级运维，1个高级运维，1个网络工程师，1个运维经理，密码统一是123456

建立5个开发人员，属于phpers组

再添加一个开发经理和高级开发人员

sudo配置文件

## Command Aliases by jianghao

Cmnd_Alias CY_CMD_1 =

/usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/nestat,/sbin/route Cmnd_Alias GY_CMD_1 =

/usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/nestat,/sbin/route,/sbin/ipt ables,/etc/

init.d/network,/bin/nice,/bin/kill,/usr/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin /yum,/sbin/fdisk,/sbin/sfdisk,/sbin/pa

rted,/sbin/partprobe,/bin/mount,/bin/unmount

Cmnd_Alias CK_CMD_1 = /usr/bin/tail /app/log*,/bin/grep /app/log*,/bin/cat,/bin/ls

Cmnd_Alias GK_CMD_1 = /sbin/service,/sbin/chkconfig,/usr/bin/tail /app/log*,/bin/grep

/app/log*,/bin/cat,/bin/ls,/bin/sh ~/scripts/deploy.

sh

Cmnd_Alias GW_CMD_1 =

/sbin/route,/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/iptables,/usr/shin/rfcom,/usr/bin/wv dial,/sbin/iwc

onfig,/sbin/mii-tool,/bin/cat var/log/*

########################################################################### ######

##User_Alias by janghao

User_Alias CHUJIADMINS = chuji001,chuji0022,chuji003

User_Alias GWNETADMINS = net1

User_Alias CHUJI_KAIFA = %phper

########################################################################### ######

##Runas_Alias by jianghao

Runas_Alias OP = root

#priconfig

senior1 ALL=(OP) GY_CMD_1

manager1 ALL=(ALL) NOPASSWD:ALL

kaifamanager1 ALL=(ALL) ALL,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,!/usr/sbin/visudo,!/bin/su,!/bin/vi *sudoer*,!/usr/bin/v

im *sudoer*