useradd -g -u -c -s -d -G -M -D改變預設屬性
userdel -r
usermod
groupadd
groupdel
passwd --stdin
chage 修改密碼過期屬性的 -l -E
su - -c 執行完退回來
sudo 普通使用者可以擁有root的權限
visudo
newgrp
id
w who last lastlog whoami finger
伺服器使用者權限管理改造方案與實施項目
最小化:安裝軟體 權限 (目錄 目錄檔案) 使用者權限 程式運作權限
提出問題,寫好方案,讨論可行性,最後确定方案,實施部署,總結維護
解決方案 規劃文檔
态度
說服别人
可行性 彙總 送出 稽核
流程 規範化管理
for user in aaa bbb ccc
do
useradd $user
echo "123123" | passwd --stdin $user > /dev/null 2>&1
done
sudo
别名大寫 指令全路徑 超過一個行的 \ 換行
sudo -l
教育訓練 講解 文檔
白名單機智
絕對路徑 字母大寫 , 别名類型 ALL=() 預設root (ALL)所有使用者
%使用者組 !指令 禁止指令
日志審計項目
suo指令日志 記錄執行sudo指令的操作
# rpm -aq | egrep "sudo|rsyslog"
sudo-1.8.6p3-12.el6.x86_64
rsyslog-5.8.10-8.el6.x86_64
# echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers
[root@localhost ~]# visudo -c
/etc/sudoers:解析正确
# echo "local2.debug /var/log/sudo.log">> /etc/rsyslog.conf
# /etc/init.d/rsyslog restart
# ll /var/log/sudo.log
-rw------- 1 root root 0 3月 27 20:45 /var/log/sudo.log
記錄sudo
rsync+inotify rsyslog
日志收集解決方案
scribe Flume storm kibanan logstash
本文轉自 295631788 51CTO部落格,原文連結:http://blog.51cto.com/hequan/1759231,如需轉載請自行聯系原作者