linux的三权分立设计思路和用户创建(安全管理员、系统管理员和审计管理员)

news2024/12/24 21:35:59

目录

一、三权分立设计思路

1、什么是三权

2、三员及权限的理解

3、三员之三权

4、权限划分

5、“三员”职责

6、“三员”配置要求

二、linux三权分立的用户创建

1、系统管理员

2、安全管理员

3、审计管理员


一、三权分立设计思路

1、什么是三权

三权指的是配置、授权、审计。

2、三员及权限的理解

(1)系统管理员(配置):主要负责系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

(2)审计管理员(审计):主要负责对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。

(3)安全管理员(授权):主要对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。

3、三员之三权

三权分立主要是废除超级管理员,将权限分配。 三员是三角色也是三人,每个人有自己的账户, 管理员与审计员必须非同一个人。

4、权限划分

(1)系统管理员: 具有系统监控、网络配置、系统管理权限。

(2)安全管理员: 具有系统监控、应用分析、数据中心( 除配置日 志、 系统日 志)、 策略配置、 网络配置、 用户管理、 系统管理( 基本配置、 权限配置、 告警配置、 网页命令行、 证书管理)。

(3)审计管理员:具有系统监控、应用分析、权限配置、权限模式( 1. 不显示保存、 生效、配置向导的权限;2. 不能进入系统升级页面)。

5、“三员”职责

(1)系统管理员:主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理;网络和系统的用户增加或删除;网络和系统的数据备份、运行日志审查和运行情况监控;应急条件下的安全恢复。

(2)安全管理员主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销,用户操作行为的安全设计,安全保密设备管理,系统安全事件的审计、分析和处理,应急条件下的安全恢复。

(3)审计管理员:主要负责对系统管理员和安全保密员的操作行为进行审计、分析和监督检查,及时发现违规行为并定期向系统安全保密管理机构汇报情况。

6、“三员”配置要求

(1)系统管理员、安全保密管理员和安全审计员不能以其他用户身份登陆系统,不能查看和修改任何业务数据库中的信息,不能删改日志内容。

(2)涉密信息系统应由办单位内部人员担任,要求政治上可靠,熟悉涉密信息系统管理操作流程,具有较强的责任意识和风险防控意识,并签署保密承诺书。

(3)系统管理员和安全保密管理员可由信息化部门专业技术人员担任,对于业务性较强的涉密信息系统可由相关业务部门担任,安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。

(4)同一设备或系统的系统管理员和安全审计员不能由同一人兼任,安全保密管理员和安全审计员不得由同一人兼任。

二、linux三权分立的用户创建

1、系统管理员

(1)创建系统管理员(sys用户)并设置密码

[root@localhost ~]# useradd sys
[root@localhost ~]# passwd sys

(2)创建组并将用户添加到组(/var是要给用户权限访问的路径),并设置目录权限。

注:这一步骤需要根据业务来确定是否配置以及配置的内容。

[root@localhost ~]# groupadd sysgroup
[root@localhost ~]# usermod -G sysgroup sys
[root@localhost ~]# chown -R sys:sysgroup /var
[root@localhost ~]# chmod 741 /var

2、安全管理员

(1)创建用户并指定登录的起始目录

[root@localhost ~]# useradd -d /etc anquan
[root@localhost ~]# passwd anquan

(2)只允许anquan用户访问/etc,设置目录权限

注:这一步骤需要根据业务来确定是否配置以及配置的内容。

[root@localhost ~]# chown -R anquan:anquan /etc
[root@localhost ~]# chmod 700 /etc

3、审计管理员

(1)创建用户

[root@localhost ~]# useradd shenji
[root@localhost ~]# passwd shenji

(2)设置shenji用户只有sudo的查看权限

编辑/etc/sudoers,并在文件中加入以下语句:

shenji     ALL = (ALL) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

其中,shenji  ALL = (ALL) 表示shenji用户在免密的情况下sudo使用查看文件的命令。

###如果是所有sudo命令的话,可以把命令改为:

shenji     ALL = (ALL) NOPASSWD: ALL

(3)设置只能shenji用户访问/var/log,配置目录权限

注:这一步骤需要根据业务来确定是否配置以及配置的内容。

[root@localhost ~]# chown -R shenji:shenji /var/log
[root@localhost ~]# chmod 700 /var/log

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/342329.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

小微企业真的需要CRM吗?

小型企业真的需要CRM吗?小型企业不需要CRM -它太贵了,不是必需品,对吧?错! 在本文中,我们将解释什么是小型企业CRM,小型企业何时应该实施CRM,哪些行业可以从CRM中受益,并…

MySQL数据库12——视图(VIEW)

视图概念 视图是一个虚拟表,称其为虚拟表的原因是:视图内的数据并不属于视图本身,而属于创建视图时用到的基本表。可以认为,视图是一个表中的数据经过某种筛选后的显示方式;或者多个表中的数据经过连接筛选后的显示方…

上手ElasticSearch必须了解的核心概念

ElasticSearch概述ElasticSearch(简称 ES) 是一个分布式的使用 REST 接口的搜索引擎,属于非关系型数据库。它是在 lucene 的基础上进行研发的,隐藏了 lucene 的复杂性,提供简单易用的 RESTful Api接口。ES 的分片相当于…

HTTP、WebSocket和Socket.IO

一、HTTP协议 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)。HTTP 协议和 TCP/IP 协议族内的其他众多的协议相同, 用于客户端和服务器之间的通信。请求访问文本或图像等资源的一端称为客户端, 而提供资源响应的一端称…

七天实现一个go rpc框架

目录rpc协议目的关于RPC和框架服务端与消息编码确保接口的实现消息的序列化与反序列化通信过程服务端的实现main 函数支持并发与异步的客户端Call 的设计实现客户端服务注册(service register)通过反射实现 service集成到服务端超时处理创建连接超时Client.Call 超时服务端处理…

C语言(联合和枚举)

1.联合创建 联合是一种数据类型,它能在同一个内存空间中存储不同的数据类型(非同时存储) 创建联合和创建结构的方式相同,需要一个联合模板和联合变量。使用关键字union union hold{ int digit; double bigfl; char letter; } 以上…

十、STM32端口复用重映射

目录 1.什么是端口复用? 2.如何配置端口复用? 3.什么是端口重映射 ? 4.什么是部分重映射和完全重映射? 5.重映射的配置过程 1.什么是端口复用? STM32有很多外设,外设的外部引脚与GPIO复用。也就是说一…

Vue|初识Vue

Vue是一款用于构建用户界面的JavaScript框架。它基于标准HTML、CSS和JavaScript构建,并提供了一套声明式的、组件化的编程模型,帮助开发者高效地开发用户界面。 初识Vue1. Vue简介2. 开发准备3. 模板语法3.1 差值语法3.2 指令语法4. 数据绑定4.1 单向数据…

工厂模式详解

工厂模式 工厂模式顾名思义就是生产实例的工厂,使用工厂模式不会在程序中使用new关键字创建实例。而是将创建对象的细节隐藏,对外提供统一的方法,外部通过该方法获取实例。以此降低调用者与程序之间的耦合性,更加灵活 工厂模式可…

ccc-Brief Introduction of Deep Learning-李宏毅(6)

文章目录Three Steps for Deep LearningFully Connect Feedforward NetworkMatrix OperationOutput Layer as Multi-Class ClassifierExample ApplicationNeural NetworkGoodness of functionPick the best functionThree Steps for Deep Learning 与机器学习三步骤基本相同。 …

sql的case when用法详解

简单CASE WHEN函数: CASE SCORE WHEN A THEN 优 ELSE 不及格 END CASE SCORE WHEN B THEN 良 ELSE 不及格 END CASE SCORE WHEN C THEN 中 ELSE 不及格 END等同于,使用CASE WHEN条件表达式函数实现: CASE WHEN SCORE A THEN 优WHEN SCORE …

数据存储领域的“归档Archive”

档案圈的朋友想必对档案领域的“归档”一词已经耳熟能详,按照DA/T 58-2014《电子档案管理基本术语》中的定义,归档(Archiving)是指“按照国家规定将具有保存价值的电子文件及其元数据的保管权交给档案部门的过程”。 今天我们要聊…

FreeRTOS任务通知 | FreeRTOS十二

目录 说明: 一、任务通知 1.1、什么是任务通知 1.2、任务通知优势与劣势 1.3、任务通知值的更新方式 1.4、任务通知值状态 1.5、任务通知状态 1.6、任务通知方式类型 二、任务通知相关API函数 2.1、常用的发送通知API函数 2.2、带通知值的发送通知函数 …

STL中重要容器vector总结

你要尽全力保护你的梦想。那些嘲笑你的人,他们必定会失败,他们想把你变成和他们一样的人。如果你有梦想的话,就要努力去实现。 ——《当幸福来敲门》引言:C中STL里面的容器用法很巧妙,可以解决很多复杂的模型&#xff…

LEADTOOLS 22.0.6 UPDATE-Crack

OCR SDK 库 许多 OCR 增强功能 LEAD 行业领先的人工智能 OCR SDK 在以下方面获得了显着的识别优化:斜体、大写和小写字母、文本行组装和单词构建、列检测、基线检测和文本行分割。 LEADTOOLS为.NET 6、. NET Framework、Xamarin、UWP、C#、VB、C/C、Java、Objective…

OpenCV形态学处理

OpenCV形态学处理1、膨胀2、腐蚀3、开/闭运算4、示例膨胀、腐蚀、开运算、闭运算 1、膨胀 膨胀就是求局部最大值的操作,膨胀的数学表达式: dst⁡(x,y)max⁡(x′,y′):1ement⁡(x′,y′)≠0src⁡(xx′,yy′)\operatorname{dst}(x, y)\max _{\left(x^{\pr…

搭建mysql主从复制

前言: 👏 作者简介:我是笑霸final,一名热爱技术的在校学生。 📝 个人主页:个人主页1 || 笑霸final的主页2 📕 系列专栏:数据库 📧 如果文章知识点有错误的地方&#xff0…

缺失数据的处理

1:方括号里写数组,是对行进行操作,方括号里写字符串,是对列进行操作 dfdf.sort_values(byCount_AnimalName,ascendingFalse) #print(df.head(5)) print(df[:20]) print(df[Row_Labels]) print(type(b))2:t3.loc(定位取…

程序的编译与链接(预处理详解)+百度面试笔试题+《高质量C/C++编程指南》笔试题

本篇重点介绍程序的编译与链接过程中的预处理阶段,将详细的介绍在预处理阶段会发生什么,以及讲解有关百度该内容的面试笔试题和源于《高质量C/C编程指南》的笔试题。一.【预处理详解】①预定义符号②#define2.1 #define 定义标识符注意:2.2 #…

常见的EMC问题

电磁兼容设计的目的就在于满足产品功能要求、减少调试时间,使产品满足电磁兼容标准的要求,并且使产品不会对系统中的其它设备产生电磁干扰。 电磁兼容设计中常见的问题有哪些? 1、电磁兼容设计可以从电路设计(包括器件选择&…