尧图网站建设 尧图网络
  • 首页
  • 关于我们
  • 服务项目
  • 案例展示
  • 建站流程
  • 资讯中心
  • 联系我们
首页/资讯中心/详情

Linux 等保三员账号 sudo 配置速查手册(精简总结版)国产银河麒麟通用

Linux 等保三员账号 sudo 配置速查手册(精简总结版)国产银河麒麟通用
📅 发布时间:2026/7/1 8:28:54

一、前置准备:创建三员账号

# 系统管理员 useradd sysadmin passwd sysadmin # 安全管理员 useradd secadmin passwd secadmin # 审计管理员 useradd auditadmin passwd auditadmin

创建账号并配置交互式登录 shell

# 系统管理员 useradd -m sysadmin -s /bin/bash passwd sysadmin # 安全管理员 useradd -m secadmin -s /bin/bash passwd secadmin # 审计管理员 useradd -m auditadmin -s /bin/bash passwd auditadmin

二、标准编辑命令(必用,禁止 vim 直接改文件)

# root执行,自带语法校验,改错不会锁死sudo visudo # 习惯vim编辑器先执行这行永久设置 echo "export EDITOR=vim" >> /etc/profile && source /etc/profile

三、visudo 完整标准配置(直接复制粘贴)

# 全局加固参数(放文件顶部) Defaults timestamp_timeout=5 Defaults logfile="/var/log/sudo.log" Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" # 1.系统管理员:全部root权限,负责业务、系统运维 sysadmin ALL=(ALL) ALL # 2.安全管理员:仅安全配置,最小权限,不能删业务/系统文件 secadmin ALL=(ALL) /usr/bin/vim /etc/ssh/sshd_config, \ /usr/bin/setenforce, \ /usr/bin/vim /etc/selinux/config, \ /usr/bin/firewall-cmd, \ /usr/bin/useradd, /usr/bin/usermod, /usr/bin/userdel, \ /usr/bin/passwd, \ /usr/bin/vim /etc/hosts.allow, /usr/bin/vim /etc/hosts.deny, \ /usr/bin/systemctl restart sshd # 3.审计管理员:纯只读,无修改权限,免密查看日志审计 auditadmin ALL=(ALL) NOPASSWD: /usr/bin/cat /var/log/*, \ /usr/bin/tail /var/log/*, \ /usr/bin/less /var/log/*, \ /usr/bin/ausearch, /usr/bin/aureport, \ /usr/bin/dmesg, /usr/bin/last, /usr/bin/who

四、权限校验命令(配置完必执行验证)

# 查看指定用户sudo权限清单 sudo -l -U sysadmin sudo -l -U secadmin sudo -l -U auditadmin

五、三员权限职责划分(等保合规逻辑)

账号权限范围核心作用权限限制
sysadmin完整 root 权限系统部署、服务启停、软件安装、业务维护不负责安全策略、日志审计
secadmin仅安全类操作SSH/SELinux/ 防火墙 / 账号生命周期管理无删除、格式化、卸载高危命令
auditadmin只读日志审计查看系统日志、审计记录、登录记录无任何编辑、修改、删除权限

六、高频避坑要点

  1. 所有命令必须写绝对路径,不能简写 vim、cat;
  2. 多行权限用\换行,换行符后不能有多余空格;
  3. 只用visudo编辑sudoers,sudo vim /etc/sudoers无语法校验,改错会锁死 sudo;
  4. 审计账号禁止授予 vim、rm、sed 等可修改文件的工具;
  5. 修改完必须执行sudo -l -U 用户名校验权限是否生效。

七、配套等保联动配置(和三员账号配套整改)

  1. SSH 禁止 root 远程登录:PermitRootLogin no
  2. SELinux 开启强制模式:SELINUX=enforcing
  3. 删除 / 锁定共享、过期闲置账号
  4. SSH / 防火墙配置 IP + 用户访问白名单

相关新闻

  • 别再死记硬背了!用一张图+大白话彻底搞懂RocketMQ的Topic、Queue和Tag
  • 给你100万,你会做一个什么样的网站?
  • Jmeter怎么实现接口关联

最新新闻

  • HTML 早已不是标签了,它现在是系统级接口:这 9 个 API 直接干翻常用 JS 库 _
  • 终极CSV查看指南:用csview快速美化你的数据表格
  • 面试被问到没做过的项目直接说不会?留学生如何正确回答「蒸汽求职分享」
  • 【企业级AI选型避坑指南】:OpenAI 5类商用产品(API/Chat/Assistant/Studio/Enterprise)适用场景与合规红线
  • 阴阳师脚本:百鬼夜行自动化终极方案,碎片收集效率提升300%
  • 2026电商SaaS选型指南:自建 vs 订阅 vs 买断

日新闻

  • 2026年6月公司网站搭建最新热门渠道测评:四大低成本/零代码平台对比+避坑
  • 【Linux】Linux arm 编译QT程序,出现expected “}“报错
  • 【MATLAB例程】四基站二维AOA定位与距离辅助增强对比仿真。基于角度观测和测距修正的固定目标平面定位精度分析

周新闻

  • Windows字体自定义终极方案:No!! MeiryoUI完全指南
  • Deepin Boot Maker:告别命令行,3分钟制作Linux启动盘的智能解决方案
  • Plain Craft Launcher 2:重新定义你的Minecraft游戏体验

月新闻

  • 2026年6月公司网站搭建最新热门渠道测评:四大低成本/零代码平台对比+避坑
  • 【Linux】Linux arm 编译QT程序,出现expected “}“报错
  • 【MATLAB例程】四基站二维AOA定位与距离辅助增强对比仿真。基于角度观测和测距修正的固定目标平面定位精度分析

关于尧图

  • 公司简介
  • 团队介绍
  • 企业文化
  • 荣誉资质

服务项目

  • 定制开发
  • 电商建站
  • UI 设计
  • 运维服务

快速链接

  • 案例展示
  • 建站流程
  • 常见问题
  • 资讯中心

联系方式

  • 📍北京市朝阳区互联网产业园 A 座 10 层
  • 📞400-888-8888
  • ✉️contact@rkmt.cn
  • 🕐周一至周日 9:00-21:00

© 2024 北京尧图网络科技有限公司 版权所有 | 京 ICP 备 XXXXXXXX 号