linux麒麟系统二级等保【三权分立策略】

た入场券 2023-10-13 20:27 18阅读 0赞

**目录**

三权分立策略

一、系统管理员

二、审计管理员

三、安全管理员

--------------------

## 三权分立策略 ##

"建议创建管理、操作、审计三类独立权限账号，支持三权分立机制。参考配置：  
管理账号（root）：拥有所有操作权限；  
普通账号：具有基本操作权限；  
审计账号：对各类日志及文件仅具有查看权限。  
1.root账号安装时产生；  
2.普通账号创建  
useradd 账号名 \#创建账号  
passwd 密码 \#设置密码  
注：普通账号权限具体需要根据实际需求设置，一般已有的权限可以满足需求（通过sudo授权控制权限）。  
3.审计账号：审计账号仅用于审计功能，其权限可在普通账号基础上进行修改。  
1）创建审计账号（方法同普通账号）；  
2）修改审计账号权限使其仅具有查看功能：  
setfacl -m u:账号名:rx 目录或文件绝对路径 \#设置权限控制  
3）给审计账号授权，修改/etc/sudoers文件，在文件最下边添加如下内容  
账号名 ALL = (root) NOPASSWD: /usr/bin/cat,/usr/bin/less,/usr/bin/more,/usr/bin/tail,/usr/bin/head"

不符合，未建立审计、运维账号  
  
整改-----------------------------------

### 一、系统管理员 ###

（1）创建系统管理员（sys用户）并设置密码

useradd sys
    passwd sys

（2）创建组并将用户添加到组（/var是要给用户权限访问的路径），并设置目录权限。**注：**这一步骤需要根据业务来确定是否配置以及配置的内容。

groupadd sysgroup
     usermod -G sysgroup sys
     chown -R sys:sysgroup /var
     chmod 741 /var

### 二、审计管理员 ###

（1）创建用户

添加用户
     useradd userlog
     passwd userlog

（2）设置shenji用户只有sudo的查看权限

修改/etc/sudoers文件，注意这里要用visudo编辑 为审计用户添加查看的权限，添加内容如下
    visudo /etc/sudoers
    userlog ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

其中，userlog ALL = (ALL) 表示shenji用户在免密的情况下sudo使用查看文件的命令。  
\#\#如果是所有sudo命令的话，可以把命令改为：  
userlog ALL = (ALL) NOPASSWD: ALL

（3）设置只能shenji用户访问/var/log，配置目录权限 **注：**这一步骤需要根据业务来确定是否配置以及配置的内容。

给目录设置权限# 700表示只允许自己访问，不允许其他用户访问
     chown -R userlog:userlog /var/log
     chmod 700 /var/log

### 三、安全管理员 ###

（1）创建用户并指定登录的起始目录

[root@localhost ~]# useradd -d /etc anquan
    [root@localhost ~]# passwd anquan

（2）只允许anquan用户访问/etc，设置目录权限 注：这一步骤需要根据业务来确定是否配置以及配置的内容。

[root@localhost ~]# chown -R anquan:anquan /etc
    [root@localhost ~]# chmod 700 /etc

参考：[linux的三权分立设计思路和用户创建（安全管理员、系统管理员和审计管理员）\_勇敢的\_小小邱的博客-CSDN博客][linux_-CSDN]

[linux_-CSDN]: https://blog.csdn.net/hjxloveqsx/article/details/129008768?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168978190316800180682798%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168978190316800180682798&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~baidu_landing_v2~default-1-129008768-null-null.142%5Ev90%5Econtrol_2,239%5Ev2%5Einsert_chatgpt&utm_term=linux%20%E6%B7%BB%E5%8A%A0%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E5%91%98&spm=1018.2226.3001.4187