[TOC] # 基金生產權限控制方案 ## 方案目的 1. 通過禁止root賬戶遠程登錄(ssh)來避免root賬戶被破解的危險 2. 通過新建專用賬號來啟動相關服務以達到降權啟動的目的 3. 通過對專用賬號的權限控制達到減小危害的目的 ## 兩種方案備選 ### 方案1: 禁止root賬戶遠程登錄,新建專用賬戶做遠程登錄,登錄后使用su命令切換至root賬號后做相關操作 **優點:** 簡單,快速,不需要對現有操作方式做過多更改 **缺點:** 還是使用的root賬號,權限過大 ### 方案2: 禁止root賬戶遠程登錄,新建專用賬戶,通過sudo命令控制其命令權限,以該用戶來啟動相關服務 **優點:** 避免了root賬戶的使用,控制了專用賬戶的操作權限,非root賬號啟動服務,避免了提權危害 **缺點:** 需要更改現有的操作方式,權限控制存在一定的不方便性 ~~每種服務需不同的用戶名,要注意UID的統一~~ ## 方法2的具體實現[以java程序為例] 步驟1:新建專用賬戶 ``` useradd totodi password totodi ``` 步驟2:用visudo配置權限 ``` Cmnd_Alias TOTODI_CMD=/usr/bin/free,/usr/bin/iostat,/usr/bin/top,/bin/hostname,/sbin/ifconfig,\ /bin/netstat,/sbin/route,/sbin/iptables,/etc/init.d/network,/bin/nice,/bin/kill,\ /usr/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/up2date,/usr/bin/yum,\ /sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/umount,\ /sbin/service,/sbin/chkconfig,/bin/cat,/bin/ls,\ !/usr/bin/passwd root,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,\ !/bin/rm,!/bin/su totodi ALL=(root) NOPASSWD:TOTODI_CMD ``` 步驟3:切換用戶并啟動服務 以ttd-fund-message:10086程序為例 ``` #切換用戶 su - totodi #修改日志文件夾權限 chown -R totodi.totodi /data/logs/ttd-fund-message-service/ #啟動服務 java -server -jar -Xms256m -Xmx256m -XX:MetaspaceSize=256m -XX:MaxMetaspaceSize=256m -Dinstance.flag=server1 /data/server/ttd-message-service/lib/message-service.jar --server.port=10086 ``` 步驟4:禁用root使用ssh 略 步驟5:歷史記錄修改 https://www.cnblogs.com/morgana/p/8846965.html 通過對所有用戶歷史記錄的配置,達到將歷史記錄輸出到指定目錄,增減時間選項,多終端共享history文件 創建目錄并配置權限: ``` mkdir /var/history #配置目錄權限，使得用戶有權限創建自己的history文件 chmod 777 /var/history chmod a+t /var/history ``` 寫入/etc/profile ``` if [ $UID -ge 500 ];then readonly HISTFILE=/var/history/$USER-$UID.log readonly HISTFILESIZE=50000 readonly HISTSIZE=10000 readonly HISTTIMEFORMAT='%F %T ' readonly HISTCONTROL=ignoredups shopt -s histappend readonly PROMPT_COMMAND="history -a" fi ```