目录

三权分立策略

一、系统管理员

二、审计管理员

三、安全管理员

---

三权分立策略

   "建议创建管理、操作、审计三类独立权限账号，支持三权分立机制。参考配置：
   管理账号（root）：拥有所有操作权限；
   普通账号：具有基本操作权限；
   审计账号：对各类日志及文件仅具有查看权限。
   1.root账号安装时产生；
   2.普通账号创建
   useradd 账号名 #创建账号
   passwd 密码 #设置密码
   注：普通账号权限具体需要根据实际需求设置，一般已有的权限可以满足需求（通过sudo授权控制权限）。
   3.审计账号：审计账号仅用于审计功能，其权限可在普通账号基础上进行修改。
   1）创建审计账号（方法同普通账号）；
   2）修改审计账号权限使其仅具有查看功能：
   setfacl -m u:账号名:rx 目录或文件绝对路径 #设置权限控制
   3）给审计账号授权，修改/etc/sudoers文件，在文件最下边添加如下内容
   账号名 ALL = (root) NOPASSWD: /usr/bin/cat,/usr/bin/less,/usr/bin/more,/usr/bin/tail,/usr/bin/head"

不符合，未建立审计、运维账号   
   
   整改-----------------------------------

一、系统管理员

（1）创建系统管理员（sys用户）并设置密码

useradd sys
passwd sys

（2）创建组并将用户添加到组（/var是要给用户权限访问的路径），并设置目录权限。注：这一步骤需要根据业务来确定是否配置以及配置的内容。

 groupadd sysgroupusermod -G sysgroup syschown -R sys:sysgroup /varchmod 741 /var

二、审计管理员

（1）创建用户

 添加用户useradd userlogpasswd userlog

 （2）设置shenji用户只有sudo的查看权限

 修改/etc/sudoers文件，注意这里要用visudo编辑 为审计用户添加查看的权限，添加内容如下
visudo /etc/sudoers
userlog ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

其中，userlog  ALL = (ALL) 表示shenji用户在免密的情况下sudo使用查看文件的命令。
##如果是所有sudo命令的话，可以把命令改为：
userlog     ALL = (ALL) NOPASSWD: ALL 

 （3）设置只能shenji用户访问/var/log，配置目录权限 注：这一步骤需要根据业务来确定是否配置以及配置的内容。

给目录设置权限# 700表示只允许自己访问，不允许其他用户访问chown -R userlog:userlog /var/logchmod 700 /var/log

三、安全管理员

（1）创建用户并指定登录的起始目录

[root@localhost ~]# useradd -d /etc anquan
[root@localhost ~]# passwd anquan

（2）只允许anquan用户访问/etc，设置目录权限 注：这一步骤需要根据业务来确定是否配置以及配置的内容。 

[root@localhost ~]# chown -R anquan:anquan /etc
[root@localhost ~]# chmod 700 /etc

参考：linux的三权分立设计思路和用户创建（安全管理员、系统管理员和审计管理员）_勇敢的_小小邱的博客-CSDN博客