应用服务器用户权限管理最佳实践(一)

原创
2020/11/20 09:59
阅读数 225

创建普通用户

  • 用root登录服务器

  • 创建一个普通用户组 groupdd demogroup

  • 创建一个普通用户adduser demouser -g demogroup,区别于useradd命令,adduser会创建用户家目录shell等

  • passwd demouser 给已创建的用户demouser 设置密码

  • 将普通用户demouser加入sudoer(方便执行一些应用治理相关的工作,又不用暴露root权限。)。执行visudo,如果没有权限,查看/etc/sudoer权限,添加写权限chmod u+w /etc/sudoer

    # User privilege specification
    root    ALL=(ALL:ALL) ALL
    demouser ALL=(ALL:ALL) ALL

    如果不想在sudo时输入密码,可以:

    # User privilege specification
    root    ALL=(ALL:ALL) ALL
    demouser ALL=(ALL:ALL) NOPASSWD: ALL

    当然最佳实践是只给部分应用治理相关的命令加入免密码:

    # User privilege specification
    root    ALL=(ALL:ALL) ALL
    demouser ALL=(root) NOPASSWD: /usr/bin/supervisorctl,/bin/mkdir

    这里的/usr/bin/supervisorctl,/bin/mkdir可以自己按需要设定,原则是不要设定可以影响到系统安全的命令。

  • 保存/etc/sudoer文件,然后执行 chmod u-w /etc/sudoer去掉写权限。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部