生产环境下 Linux 用户管理的最佳实践是什么

没有运维的经验，想请教一下大家

1. 需要对哪些程序做用户（组）隔离？
2. sudo 权限能不能使用？
3. 用户隔离的软件是否只能通过编译安装？
4. 运维人员的用户权限如何？如何管理切换多个用户？
5. Docker 下的情况如何？

boris1993

2019-05-25 07:19:42 +08:00

我司目前生产环境 root 敢死队（笑

我提出的改进方案是：

1. 生产环境禁止 root 直接登录
2. 创建专门的运维用账号，该帐号仅允许证书登录
3. 运维账号的证书由 IT 部门(在我司就是负责管理虚拟机的那批)生成、分发、保管
4. 建立一个跳板机，允许运维使用证书登录，然后在跳板里连接生产环境
5. 生产环境 SSH 仅接受来自跳板的连接
6. sudo 允许，毕竟这是需要的权限，但是不能啥前面都加(这个就得涉及操作日志审计了)

xabc

2019-05-25 09:08:18 +08:00

核心是每个人独立账号，建设安全的跳板机器，以及配备自助业务机器权限申请的系统

https://xabcloud.com 转账这块系统的建设，正在给国内一些互联网企业做运维平台基础支撑

julyclyde

2019-05-25 11:05:09 +08:00

生产环境下首先，用户名-uid 对应关系，各个机器得一致
其次，验证（密码 or publickey ）得一致
第三，sudo 权限需要管制

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/567472

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.