目标:
管理员账号(root):拥有所有操作权限
普通系统账号:具有基本的操作权限
审计账号:对各类日志及文件只具有查看权限

实现步骤:
1,root管理员系统安装时产生,不过多阐述
2, 普通系统账号创建

1
2
[root@localhost ~]# useradd test(用户名)
[root@localhost ~]# passwd test(设置密码)

普通账号权限具体需要根据实际需求设置,一般已有的权限可以满足需求(通过sudo授权控制权限)

3,审计账号:审计账号只用于审计功能,其权限可在普通账号基础上进行修改
1) 创建审计账号shenji(方法同普通账号,如上图)
2) 修改审计账号权限使其只具有查看功能

1
[root@localhost ~]# setfacl -m u:shenji:rx /* (设置权限控制)

给shenji用户授权,修改/etc/sudoers文件,在文件最下边添加如下内容

1
shenji ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

至此设置完成,审计用户shenji此时只有查看权限,查看命令如下:

1
[shenji@localhost ~]$ sudo tail /var/log/messages