目标:
管理员账号(root):拥有所有操作权限
普通系统账号:具有基本的操作权限
审计账号:对各类日志及文件只具有查看权限
实现步骤:
1,root管理员系统安装时产生,不过多阐述
2, 普通系统账号创建
1 | [root@localhost ~]# useradd test(用户名) |
普通账号权限具体需要根据实际需求设置,一般已有的权限可以满足需求(通过sudo授权控制权限)
3,审计账号:审计账号只用于审计功能,其权限可在普通账号基础上进行修改
1) 创建审计账号shenji(方法同普通账号,如上图)
2) 修改审计账号权限使其只具有查看功能
1 | [root@localhost ~]# setfacl -m u:shenji:rx /* (设置权限控制) |
给shenji用户授权,修改/etc/sudoers文件,在文件最下边添加如下内容
1 | shenji ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head |
至此设置完成,审计用户shenji此时只有查看权限,查看命令如下:
1 | [shenji@localhost ~]$ sudo tail /var/log/messages |