等保测评linux三权分立配置

---

系统管理员

1、创建用户并设置密码

[root@centos-8 sysadmin]# useradd sysadmin
useradd：用户“sysadmin”已存在
[root@centos-8 sysadmin]# passwd sysadmin
更改用户 sysadmin 的密码 。
新的 密码：
[root@centos-8 sysadmin]#

---

2、创建用户组并授予管理权限

[root@centos-8 sysadmin]# groupadd sysgroup
[root@centos-8 sysadmin]# usermod -G sysgroup sysadmin
[root@centos-8 sysadmin]# chown -R sysadmin:sysgroup /
chown: 正在更改'/proc/fs/nfsd' 的所有者: 不允许的操作
chown: 正在更改'/proc/sys/abi/vsyscall32' 的所有者: 不允许的操作
chown: 正在更改'/proc/sys/abi' 的所有者: 不允许的操作
chown: 正在更改'/proc/sys/crypto/fips_enabled' 的所有者: 不允许的操作
chown: 正在更改'/proc/sys/crypto' 的所有者: 不允许的操作
chown: 正在更改'/proc/sys/debug/exception-trace' 的所有者: 不允许的操作
chown: 正在更改'/proc/sys/debug/kprobes-optimization' 的所有者: 不允许的操作
chown: 正在更改'/proc/sys/debug' 的所有者: 不允许的操作
......

---

注：以上授权操作慎用，授予所有权限，可能造成操作系统权限混乱，导致操作系统无法启动，建议创建用户和用户组就行了，不用再授予所有权限=

安全管理员

1、创建用户并设置密码

[root@centos-8 sysadmin]# useradd secadmin
[root@centos-8 sysadmin]# passwd secadmin
更改用户 secadmin 的密码 。
新的 密码：
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。
[root@centos-8 sysadmin]#

---

2、授予“secadmin”用户etc目录的所有权限

[root@centos-8 sysadmin]# chown -R secadmin:secadmin /etc
[root@centos-8 sysadmin]# chmod 700 /etc
[root@centos-8 sysadmin]#

---

审计管理员

1、创建用户并设置密码

[root@centos-8 sysadmin]# useradd auditadmin
[root@centos-8 sysadmin]# passwd auditadmin
更改用户 auditadmin 的密码 。
新的 密码：
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。
[root@centos-8 sysadmin]#

---

2、vi /etc/sudoers后编辑插入以下内容：

auditadmin     ALL = (root) NOPASSWD: /usr/binF/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

—
3、授予权限

[root@centos-8 sysadmin]# chown -R auditadmin:auditadmin /var/log
[root@centos-8 sysadmin]# chmod 700 /var/lo
local/ lock/  log/
[root@centos-8 sysadmin]# chmod 700 /var/log
[root@centos-8 sysadmin]#

---

总结

其实按照一般情况服务器真正做到三权分立很难做到的，有些客户方人手根本就不够，分三权的意义也是按要求，不严格的话直接创建三个用户就行了，视情况而定！！！