jinjzk
- 浏览: 80904 次
- 性别:
- 来自: 杭州
-
文章分类
- 全部博客 (95)
- Linux(CentOS) (17)
- ubuntu (16)
- linux命令 (13)
- java基础 (8)
- eclipse maven (1)
- ubuntu xen (0)
- samba (1)
- jdk (1)
- linux (1)
- jenkins (1)
- MySQL (4)
- spring (1)
- redis (2)
- zookeeper (3)
- java多线程 (3)
- 线程池 (2)
- 工具类 (1)
- 技术问答 (1)
- 算法 (1)
- eclipse JVM (1)
- hadoop配置 (2)
- hadoop配置 HDFS (0)
- ubuntu svn (1)
- hadoop (5)
- mapReduce (1)
- HDFS (2)
- hive (3)
- flume (1)
- python (6)
- centos (1)
- svn (1)
- sonar (1)
- JVM (1)
- kafka (1)
- zabbix (1)
- python paramiko (1)
- TPS (1)
- docker (4)
- ssh (2)
- Go (1)
最新评论
禁止root用户SSH登录
一、用户权限集中管理
编辑/etc/sudoers文件把Defaults env_reset改成Defaults !env_reset
1、设计2个组
2、模拟创建用户角色
3、定义命令和命令地路径。命令一定要使用绝对路径,避免其他目录的同名命令被执行,造成安全隐患 ,因此使用的时候也是使用绝对路径!
二、用户行为日志审计管理
sudo配合syslog服务,进行日志审计(信息量少)
1、配置/etc/sudoers
2、配置系统日志/etc/rsyslog.conf
三、记录登录用户的数据
##让普通用户具备sudo功能
vim /etc/ssh/sshd_config UseDNS no PermitRootLogin no #AddressFamily inet #SyslogFacility AUTHPRIV #PasswordAuthentication yes service sshd restart
一、用户权限集中管理
编辑/etc/sudoers文件把Defaults env_reset改成Defaults !env_reset
1、设计2个组
开发人员权限 /usr/bin/tail /app*,/bin/grep /app*,/bin/cat 运维人员权限 /usr/bin/free,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route,/bin/ls,/sbin/iptables,/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/bin/mount,/bin/umount,/bin/sh,/usr/bin/python #,/usr/bin/tail,/bin/grep,/bin/cat
2、模拟创建用户角色
创建1个开发,1个运维,密码统一是123456 groupadd -g 998 kf groupadd -g 999 yw for name in kf yw do useradd -g $name $name echo "123456" | passwd --stdin $name done tail -3 /etc/passwd
3、定义命令和命令地路径。命令一定要使用绝对路径,避免其他目录的同名命令被执行,造成安全隐患 ,因此使用的时候也是使用绝对路径!
chmod go-x /usr/bin/python visudo Cmnd_Alias KF_CMD=/usr/bin/tail /app*,/bin/grep /app*,/bin/cat Cmnd_Alias YW_CMD=/usr/bin/free,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route,/bin/ls,/sbin/iptables,/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/bin/mount,/bin/umount,/bin/sh,/usr/bin/python #用户别名 User_Alias KAIFA = kf User_Alias YUNWEI = %yw #整个运维组的账户 Runas_Alias OP = root #pri config KAIFA ALL=(OP) KF_CMD YUNWEI ALL=(OP) YW_CMD
二、用户行为日志审计管理
sudo配合syslog服务,进行日志审计(信息量少)
1、配置/etc/sudoers
rpm -qa|egrep "sudo|rsyslog" #Defaults@SERVER log_host,logfile=/var/log/sudo.log #配置日志纪录到主机SERVER的/var/log/sudo.log文件 #配置日志纪录到/var/log/sudo.log文件 echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers tail -l /etc/sudoers visudo -c #检查sudoers文件语法
2、配置系统日志/etc/rsyslog.conf
#在/etc/rsyslog.conf中增加设备local2,打印级别是debug,将我们执行的命令通过rsyslog记录到/var/log/sudo.log中 echo "local2.debug /var/log/sudo.log" >>/etc/rsyslog.conf #查看配置结果 tail -l /etc/rsyslog.conf #重启服务 /etc/init.d/rsyslog restart #查看是否生成,权限600,确保只有root能看 ll /var/log/sudo.log 切换用户测试
三、记录登录用户的数据
/var/log/useraudit.log文件记录登录用户的时间,来源IP,以及在系统中运行了什么命令。
#vi /etc/profile
在最后添加下面内容:
export HISTORY_FILE=/var/log/useraudit.log
export PROMPT_COMMAND='{ h=`history 1`;w=`who am i`;echo -e $(date "+%Y-%m-%d %H:%M:%S") --- $w ---$h;} >> $HISTORY_FILE'
然后执行命令:
touch /var/log/useraudit.log
chmod 777 /var/log/useraudit.log
chattr +a /var/log/useraudit.log
##让普通用户具备sudo功能
vi /etc/sudoers userA ALL=(ALL) ALL vim /etc/inittab #修改启动级别 chkconfig iptables --list chkconfig iptables stop
分享到:
发表评论
-
装机脚本
2016-05-30 11:23 850##################### #!/bin ... -
sed语法
2015-09-14 16:53 532sed : Stream editor ,逐行处理文本 ... -
grep语法
2015-09-14 16:52 449grep 根据模式搜索文本,并将符合模式的文本显示出来 ... -
svn
2015-06-05 13:15 4791、下载单个文件 svn co --depth=empt ... -
ubuntu14 for 循环
2014-12-26 15:39 574#!/bin/bash a=2 v2=`e ... -
Linux文件系统
2014-11-01 21:35 4101、查看系统分区 df 【-h】 2、查看文件、目录大小 d ... -
Linux用户管理
2014-10-30 08:39 4781、添加组 groupadd webadmin #自动生 ... -
Linux基本命令-文件处理2
2014-10-26 21:38 3701、gzip 只能压缩文件 不保留源文件 压缩 gzip ... -
Linux基本命令-文件处理1
2014-10-23 22:07 558只有root可以执行的目录 sbin、/usr/sbin ... -
linux基本命令
2014-09-23 22:54 445=============================== ... -
linux文件夹权限问题
2014-07-20 16:08 6641、sudo chmod 777 /usr/local/j ... -
linux命令复习
2014-06-27 11:32 520一、touch linux的touch命令不常用,一般在使用m ...
相关推荐
- **三权分立管理模式**:系统分为系统管理员平台、策略管理员平台和审计管理员平台,实现权限分离,加强内部管控。 - **全面审计能力**:支持数据库、主机和服务等多方面审计,覆盖广泛的企业业务场景。 - **...
运维管理审计系统通过一系列精心设计的模块,如集中管理、统一账号管理、集中访问控制、集中安全审计和权限管理等,为企业提供了一个全方位的IT系统管理解决方案。这些模块相互协作,确保企业的运维活动既安全又高效...
2. **核心业务层**:对数据进行深度分析和关联分析,生成审计报告,并提供日志和用户管理功能。 3. **展示层**:通过多样化的报告展现系统运行状况,支持审计系统配置管理和综合审计展示。 该解决方案包含以下组件...
总之,通用权限管理系统是一个集安全性、灵活性和易用性于一体的解决方案,它的动态权限控制、菜单、角色、用户及日志追踪等功能共同构成了强大的权限管理体系,为企业提供了高效的数据保护和用户管理手段。
##### 6.1 日志审计系统建设方案 - **6.1.1 日志管理建议**: - 建立统一的日志标准格式,简化后期的数据处理工作; - 设计合理的日志生命周期管理策略,平衡存储成本与数据保留时间。 - **6.1.2 日志审计系统...
此外,可能还会涉及认证(Authentication)和授权(Authorization)流程,以及日志记录和审计功能,以追踪用户的操作行为。 总的来说,“后台权限管理系统”是一个复杂但必要的系统组件,它通过角色、菜单和按钮...
- **日志管理建议**:采用集中式日志管理方案,统一收集和管理所有系统的日志数据。 - **日志审计系统整体架构**:设计一个由日志采集模块、日志处理模块和日志分析模块组成的架构。 - **日志采集实现方式**:...
- **功能部署图**:显示各组件如何协同工作,如认证、授权、审计和用户管理等。 - **数据流向**:描述信息如何在系统中流动,确保数据安全和合规。 - **功能模块**:如认证管理、授权管理、用户同步、生命周期管理、...
这包括对数据库的访问控制、权限管理、数据加密、漏洞管理以及日志审计等多个方面。 一、访问控制与权限管理 有效的访问控制是防止未经授权访问的关键。应设定严格的访问策略,确保只有经过身份验证和授权的用户...
综上所述,风聆RBAC权限管理系统是一个专业、安全且灵活的权限管理解决方案,适用于需要精细控制用户权限的组织,特别是像江西新余电信这样的大型机构。它的设计遵循RBAC原则,提供了一套完整的用户、角色和权限管理...
深信服上网行为管理解决方案旨在提供一套集有线无线网络管理于一体的高效方案,旨在满足企业对网络统一管理和安全审计的需求。此方案适用于各种规模的企业,尤其是对于需要在总部、分支和营销网络之间实现互联互通的...
5. **日志记录**:记录用户的登录、权限变更等操作,以便审计和故障排查。 在实际应用中,基于RBAC的通用权限管理构件可以通过接口与其他系统集成,实现整个企业的统一权限管理。这样的系统不仅可以提高安全性,还...
6. 日志审计:记录用户的操作行为,便于追溯和审计。 7. 系统集成:与企业的其他系统进行接口对接,实现权限信息的共享和同步。 系统的实现往往还会涉及到数据库设计,如MySQL或PostgreSQL等,用来存储用户、角色和...
审计管理记录并分析用户的所有操作,形成详尽的日志,用于监控用户行为和追溯安全事故。4A平台的审计功能不仅能实时监控,还可以通过数据挖掘技术,从大量的审计数据中找出潜在的安全隐患或异常行为,以便及时采取...
统一上网行为管理解决方案是一种综合性的网络管理策略,旨在全面监控、管理和优化组织内的网络使用行为。这种解决方案通常由专业的设备或软件提供,如文档中提到的Sangfor AC,它能够整合有线和无线网络的管理,提高...
华为数据审计中心解决方案的独特之处在于,它不仅监控访问控制和入侵检测,还深入到账号管理、登录过程、身份认证以及用户行为的深度审计。 #### 功能与实现原理 华为数据审计中心方案实现了对账号分配、授权、...
7. **审计日志**:记录用户的操作行为,便于追踪权限滥用或异常行为。 为了确保系统的安全性,还需要考虑以下方面: - **权限最小化原则**:只赋予用户完成工作所需的最少权限。 - **权限分离**:避免单个角色拥有...
- **ACA管理中心**:负责用户管理、策略配置等高级管理工作。 - **ACA审计中心**:集中存储审计数据,支持日志分析。 - **ACA客户端**:安装在用户PC上,通过USB令牌进行身份验证。 #### 六、系统优势 - **全面的...
7. 审计与日志:权限管理系统需具备审计功能,记录所有权限相关的活动,以便于追踪异常行为和满足合规性要求。 8. 集中式与分布式权限管理:集中式权限管理系统通常由一个中心服务器控制所有权限,而分布式系统则在...