linux服务器用户管理
用户管理
线上服务器不同的用户负责不同的部分,比如架构工程师需要web相关权限,DBA需要数据库相关的权限。协调好可用性以及安全性,如何管理?
我采用的是普通用户权限+sudoer+facl+group+应用账号
web维护人员:
系统普通账号+tomcat配置复杂密码后禁用远程登录,
(参考:http://blog.csdn.net/linghe301/article/details/8211305) 这里提到ssh配置文件的DenyUsers 很好用。可方便管理tomcat相关数据和服务。
DBA:
除了需要主从数据库管理账号外还需要服务器账号的话,普通用户既可。
当他需要查看数据库日志、拉取数据到本地,则需要给他相关目录的权限。
可以让他切换到mysql账号去执行操作,但风险较大(此处比tomcat的风险要更大一些),如果只是需要数据的话,便只把数据目录的权限给它既可。比如:
setfacl -R -m g:dba:rwx /data/mysql (此为mysql数据目录,会遇到一些报错,随后调查)
便把他的账号加入到mysql组里,给予组rwx权限。
一开始web维护人员想要实现普通用户无密码切换到tomcat,这个看似可以实现
/etc/sudoers
%webgroup ALL=/bin/su NOPASSWD:/bin/su tomcat
但这样一来用户也可以通过该命令实现自动切换到其他用户。所以是不合实际的。
安全性相关的还有:
禁用root的远程登录,更改默认端口,做日志分析+黑名单。
随后再补充。
本文出自 “jude” 博客,请务必保留此出处http://mingyu.blog.51cto.com/2097255/1438182
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
