当前位置: 首页 > news >正文

等保-linux-三权分立账号设置,系统管理员、安全管理员、审计管理员

在Linux系统中实现等保(信息安全等级保护)要求的"三权分立"(系统管理员、安全管理员、审计管理员)账号设置,需要按照最小权限原则进行权限划分。以下是具体实施方案:


1. 账号角色定义

角色职责范围对应Linux权限
系统管理员日常系统运维、资源配置、网络管理、普通用户管理sudo权限限于:软件安装/卸载、服务管理、磁盘管理、网络配置、用户管理(非特权)
安全管理员安全策略配置、权限分配、安全审计配置、安全事件处理sudo权限限于:防火墙/SElinux配置、密码策略、文件权限修改、审计规则查看
审计管理员审计日志收集与分析、监控系统操作、审计策略配置(无权操作被审计内容)仅能查看日志文件(/var/log/)、使用审计工具(如auditd),但无系统修改权限

2. 具体实施步骤

(1) 创建三个角色账户
# 创建账户(禁止交互式登录)
sudo useradd -s /sbin/nologin sysadmin    # 系统管理员
sudo useradd -s /sbin/nologin secadmin    # 安全管理员
sudo useradd -s /sbin/nologin auditadmin  # 审计管理员# 设置强密码(需符合等保复杂度要求)
sudo passwd sysadmin
sudo passwd secadmin
sudo passwd auditadmin
(2) 配置sudo权限

编辑/etc/sudoers(建议使用visudo命令):

# 系统管理员权限(示例)
sysadmin ALL=(ALL) /usr/bin/apt,/usr/bin/yum,/usr/bin/systemctl,/usr/sbin/useradd,/usr/sbin/userdel,/sbin/ifconfig# 安全管理员权限(示例)
secadmin ALL=(ALL) /usr/sbin/iptables,/usr/sbin/setsebool,/usr/bin/passwd,/usr/bin/chmod,/usr/sbin/ausearch# 审计管理员权限(仅读权限)
auditadmin ALL=(ALL) /usr/bin/cat /var/log/*,/usr/sbin/ausearch,/usr/bin/less /var/log/*或者使用下面的权限控制
#系统管理员
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig, /usr/bin/systemctl start, /usr/bin/systemctl stop, /usr/bin/systemctl reload, /usr/bin/systemctl restart, /usr/bin/systemctl status, /usr/bin/systemctl enable, /usr/bin/systemctl disable
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
sysadmin ALL=(root) SOFTWARE,SERVICES,STORAGE#安全管理员
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
secadmin ALL=(root) DELEGATING,PROCESSES,NETWORKING#审计管理员的权限
auditadmin ALL=(root) NOPASSWD:/usr/sbin/aureport,NOPASSWD:/usr/sbin/autrace,NOPASSWD:/usr/sbin/ausearch,NOPASSWD:/usr/sbin/audispd,NOPASSWD:/usr/sbin/auditctl

测试配置是否正确

visudo -c
(3) 配置审计日志保护
# 设置日志目录权限
sudo chown -R root:auditadmin /var/log
sudo chmod -R 750 /var/log
sudo chmod 640 /var/log/*.log# 安装并配置auditd(审计守护进程)
sudo apt-get install auditd
sudo auditctl -e 1  # 启用审计
(4) 配置SSH访问控制
# 在/etc/ssh/sshd_config中限制角色登录
AllowUsers sysadmin secadmin auditadmin
(5) 启用历史操作记录
# 为每个角色配置独立操作日志
sudo echo "export PROMPT_COMMAND='whoami>> /var/log/role_audit.log'" >> /etc/profile

3. 权限验证要点

  • 系统管理员:应能管理用户但无法修改审计规则或查看敏感日志
  • 安全管理员:应能配置防火墙但无法安装软件或查看其他用户的操作日志
  • 审计管理员:应能查看所有日志但无法执行rmchmod等修改命令

4. 等保合规要求

  1. 账号唯一性:禁止共享账号,每个管理员使用独立账户
  2. 权限分离:确保三个角色权限无交叉(尤其注意审计员不能有写权限)
  3. 日志留存:审计日志至少保留6个月,建议配置远程日志服务器
  4. 定期审查:每季度检查权限分配和日志完整性

5. 增强建议

  • 配置堡垒机进行集中权限管理
  • 部署SElinux增强权限控制
  • 使用auditd监控特权命令执行
  • 对sudo操作进行二次认证(如配置pam_tty_audit)

通过以上配置,可满足等保2.0三级及以上系统对"三权分立"的要求。实际部署时需根据具体业务需求调整权限命令列表。

http://www.dtcms.com/a/272811.html

相关文章:

  • 目标检测中的评价指标计算
  • 数据结构 —— 键值对 map
  • Git操作技巧(一)
  • shell学习从入门到精通
  • 数据仓库:企业数据管理的核心枢纽
  • 创客匠人视角:从信任经济看创始人 IP 如何重塑 IP 变现逻辑
  • nmap扫描指定网段中指定开放端口的主机(IP,mac地址)
  • 量子计算系统软件:让“脆弱”的量子计算机真正可用
  • 有什么好使用的内网ip映射软件?可以让家庭/公司网络局域网端口,让公网互联网跨网访问
  • Spring boot整合dubbo+zookeeper
  • 26-计组-外存
  • 基于云端EC2的O3DE机器人仿真环境搭建指南
  • python自动化面试问题——关于python
  • 029_构造器重载与默认构造器
  • 【报错】Could not find a package configuration file provided by ‘glog’”
  • “Datawhale AI夏令营”基于带货视频评论的用户洞察挑战赛
  • 使用Tensorflow和CNN进行猫狗图片训练的实战总结
  • P1722 矩阵 II 题解 DFS深度优先遍历与卡特兰数(Catalan number)解
  • Spring Boot+Redis+Caffeine 二级缓存架构的终极实现方案、包含万级QPS下的黄金配置参数、全文超过2500字(博君一赞)
  • XGBoosting算法详解(Boosting思想的代表算法)
  • C语言<数据结构-链表>
  • LangChain RAG 实战
  • Transformers 和 PyTorch 的区别与安装指南
  • Docker 高级管理--Dockerfile镜像制作
  • Context Engineering Framework 系统详细介绍
  • 链表算法之【合并两个有序链表】
  • 牛客笔试题 除2!
  • 读取按键的四种方式
  • IMU误差模型
  • 显卡GPU的架构和工作原理