当前位置: 首页 > news >正文

Linux 等保三员账号 sudo 配置速查手册(精简总结版)国产银河麒麟通用

一、前置准备:创建三员账号

# 系统管理员 useradd sysadmin passwd sysadmin # 安全管理员 useradd secadmin passwd secadmin # 审计管理员 useradd auditadmin passwd auditadmin

创建账号并配置交互式登录 shell

# 系统管理员 useradd -m sysadmin -s /bin/bash passwd sysadmin # 安全管理员 useradd -m secadmin -s /bin/bash passwd secadmin # 审计管理员 useradd -m auditadmin -s /bin/bash passwd auditadmin

二、标准编辑命令(必用,禁止 vim 直接改文件)

# root执行,自带语法校验,改错不会锁死sudo visudo # 习惯vim编辑器先执行这行永久设置 echo "export EDITOR=vim" >> /etc/profile && source /etc/profile

三、visudo 完整标准配置(直接复制粘贴)

# 全局加固参数(放文件顶部) Defaults timestamp_timeout=5 Defaults logfile="/var/log/sudo.log" Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" # 1.系统管理员:全部root权限,负责业务、系统运维 sysadmin ALL=(ALL) ALL # 2.安全管理员:仅安全配置,最小权限,不能删业务/系统文件 secadmin ALL=(ALL) /usr/bin/vim /etc/ssh/sshd_config, \ /usr/bin/setenforce, \ /usr/bin/vim /etc/selinux/config, \ /usr/bin/firewall-cmd, \ /usr/bin/useradd, /usr/bin/usermod, /usr/bin/userdel, \ /usr/bin/passwd, \ /usr/bin/vim /etc/hosts.allow, /usr/bin/vim /etc/hosts.deny, \ /usr/bin/systemctl restart sshd # 3.审计管理员:纯只读,无修改权限,免密查看日志审计 auditadmin ALL=(ALL) NOPASSWD: /usr/bin/cat /var/log/*, \ /usr/bin/tail /var/log/*, \ /usr/bin/less /var/log/*, \ /usr/bin/ausearch, /usr/bin/aureport, \ /usr/bin/dmesg, /usr/bin/last, /usr/bin/who

四、权限校验命令(配置完必执行验证)

# 查看指定用户sudo权限清单 sudo -l -U sysadmin sudo -l -U secadmin sudo -l -U auditadmin

五、三员权限职责划分(等保合规逻辑)

账号权限范围核心作用权限限制
sysadmin完整 root 权限系统部署、服务启停、软件安装、业务维护不负责安全策略、日志审计
secadmin仅安全类操作SSH/SELinux/ 防火墙 / 账号生命周期管理无删除、格式化、卸载高危命令
auditadmin只读日志审计查看系统日志、审计记录、登录记录无任何编辑、修改、删除权限

六、高频避坑要点

  1. 所有命令必须写绝对路径,不能简写 vim、cat;
  2. 多行权限用\换行,换行符后不能有多余空格;
  3. 只用visudo编辑sudoerssudo vim /etc/sudoers无语法校验,改错会锁死 sudo;
  4. 审计账号禁止授予 vim、rm、sed 等可修改文件的工具;
  5. 修改完必须执行sudo -l -U 用户名校验权限是否生效。

七、配套等保联动配置(和三员账号配套整改)

  1. SSH 禁止 root 远程登录:PermitRootLogin no
  2. SELinux 开启强制模式:SELINUX=enforcing
  3. 删除 / 锁定共享、过期闲置账号
  4. SSH / 防火墙配置 IP + 用户访问白名单
http://www.jsqmd.com/news/1101306/

相关文章:

  • 元器件IC测试治具是什么?
  • 浮点运算在MCU上的坑,新手十个踩九个
  • 别再死记硬背了!用一张图+大白话彻底搞懂RocketMQ的Topic、Queue和Tag
  • JD-GUI 反编译软件
  • Dism++:Windows系统维护的完整解决方案与高效优化指南
  • Mac剪贴板只能存一条?Paste v6.5.2 帮你管理历史记录
  • 给你100万,你会做一个什么样的网站?
  • Windows风扇控制神器:FanControl中文版完全指南
  • 2026年上海新风系统品牌优选指南,清新空气从这里开始
  • 5分钟零基础入门:ServerPackCreator轻松创建Minecraft服务器包终极指南
  • 别再只会用H5跳转了!Android Scheme协议从配置到实战避坑全指南
  • VMware虚拟机跨平台迁移不求人:从Windows物理机→Mac M3芯片宿主机的完整适配路径(含UEFI固件补丁包)
  • AI视觉交互项目部署指南:从环境配置到API集成实战
  • Jmeter怎么实现接口关联
  • ChatGPT写方案全流程拆解(从Prompt工程到合规审查):央企数字化转型团队内部培训手册首次公开
  • 校园社团物资管理系统源码 Java+SpringBoot+Vue 前后分离
  • 网站关键词如何优化?
  • 如何在3分钟内实现跨平台远程桌面控制?BilldDesk开源解决方案深度解析
  • OpenMontage:全链路AI视频自动化工具,如何从脚本到视频一键生成?
  • ARM多核开发避坑指南:spinlock里用WFE还是WFI?一个真实性能调优案例
  • 计算机毕业设计之基于决策树的路面情况推测方法设计与性能分析
  • Hi3D+Codex:从图像到代码,AI驱动3D场景自动化生成实战
  • AI Agent开发实战:从零构建智能体应用的全流程指南
  • 别再死记硬背了!用这5个真实场景,彻底搞懂Cisco ASA防火墙的NAT配置
  • 小心烧板!为什么你的DC-DC电路里,一体成型电感耐压可能只有50V?
  • 5个必装的Illustrator自动化脚本:提升设计效率300%
  • 别再被APC模型绕晕了!用Stata实操带你搞定年龄、时期、队列效应分离
  • # 同一句提示词,DeepSeek和豆包谁更适合你的任务?我们做了一个「AI裁判」
  • 面试被问为什么不留在国外发展?留学生用这三步回答稳拿好评「蒸汽求职分享」
  • Parasoft助力安全关键自动驾驶系统斩获百万级政府合同