生产环境下 Linux 用户管理的最佳实践是什么

2019-05-24 23:54:44 +08:00
 lhx2008
没有运维的经验,想请教一下大家

1. 需要对哪些程序做用户(组)隔离?
2. sudo 权限能不能使用?
3. 用户隔离的软件是否只能通过编译安装?
4. 运维人员的用户权限如何?如何管理切换多个用户?
5. Docker 下的情况如何?
1720 次点击
所在节点    问与答
3 条回复
boris1993
2019-05-25 07:19:42 +08:00
我司目前生产环境 root 敢死队(笑

我提出的改进方案是:

1. 生产环境禁止 root 直接登录
2. 创建专门的运维用账号,该帐号仅允许证书登录
3. 运维账号的证书由 IT 部门(在我司就是负责管理虚拟机的那批)生成、分发、保管
4. 建立一个跳板机,允许运维使用证书登录,然后在跳板里连接生产环境
5. 生产环境 SSH 仅接受来自跳板的连接
6. sudo 允许,毕竟这是需要的权限,但是不能啥前面都加(这个就得涉及操作日志审计了)
xabc
2019-05-25 09:08:18 +08:00
核心是每个人独立账号,建设安全的跳板机器,以及配备自助业务机器权限申请的系统

https://xabcloud.com 转账这块系统的建设,正在给国内一些互联网企业做运维平台基础支撑
julyclyde
2019-05-25 11:05:09 +08:00
生产环境下首先,用户名-uid 对应关系,各个机器得一致
其次,验证(密码 or publickey )得一致
第三,sudo 权限需要管制

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/567472

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX