linux服务器用户管理

用户管理


线上服务器不同的用户负责不同的部分,比如架构工程师需要web相关权限,DBA需要数据库相关的权限。协调好可用性以及安全性,如何管理?


我采用的是普通用户权限+sudoer+facl+group+应用账号


web维护人员:

    系统普通账号+tomcat配置复杂密码后禁用远程登录,
    (参考:http://blog.csdn.net/linghe301/article/details/8211305) 这里提到ssh配置文件的DenyUsers 很好用。可方便管理tomcat相关数据和服务。


DBA:

    除了需要主从数据库管理账号外还需要服务器账号的话,普通用户既可。

    当他需要查看数据库日志、拉取数据到本地,则需要给他相关目录的权限。

    可以让他切换到mysql账号去执行操作,但风险较大(此处比tomcat的风险要更大一些),如果只是需要数据的话,便只把数据目录的权限给它既可。比如:

    setfacl -R -m g:dba:rwx /data/mysql (此为mysql数据目录,会遇到一些报错,随后调查)

便把他的账号加入到mysql组里,给予组rwx权限。



一开始web维护人员想要实现普通用户无密码切换到tomcat,这个看似可以实现

/etc/sudoers

%webgroup      ALL=/bin/su     NOPASSWD:/bin/su tomcat

但这样一来用户也可以通过该命令实现自动切换到其他用户。所以是不合实际的。


安全性相关的还有:

    禁用root的远程登录,更改默认端口,做日志分析+黑名单。


随后再补充。

你可能感兴趣的:(linux,服务器,配置文件,数据库管理)