Linux 等保三员账号 sudo 配置速查手册(精简总结版)国产银河麒麟通用

一、前置准备:创建三员账号

# 系统管理员 useradd sysadmin passwd sysadmin # 安全管理员 useradd secadmin passwd secadmin # 审计管理员 useradd auditadmin passwd auditadmin

创建账号并配置交互式登录 shell

# 系统管理员 useradd -m sysadmin -s /bin/bash passwd sysadmin # 安全管理员 useradd -m secadmin -s /bin/bash passwd secadmin # 审计管理员 useradd -m auditadmin -s /bin/bash passwd auditadmin

二、标准编辑命令(必用,禁止 vim 直接改文件)

# root执行,自带语法校验,改错不会锁死sudo visudo # 习惯vim编辑器先执行这行永久设置 echo "export EDITOR=vim" >> /etc/profile && source /etc/profile

三、visudo 完整标准配置(直接复制粘贴)

# 全局加固参数(放文件顶部) Defaults timestamp_timeout=5 Defaults logfile="/var/log/sudo.log" Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" # 1.系统管理员:全部root权限,负责业务、系统运维 sysadmin ALL=(ALL) ALL # 2.安全管理员:仅安全配置,最小权限,不能删业务/系统文件 secadmin ALL=(ALL) /usr/bin/vim /etc/ssh/sshd_config, \ /usr/bin/setenforce, \ /usr/bin/vim /etc/selinux/config, \ /usr/bin/firewall-cmd, \ /usr/bin/useradd, /usr/bin/usermod, /usr/bin/userdel, \ /usr/bin/passwd, \ /usr/bin/vim /etc/hosts.allow, /usr/bin/vim /etc/hosts.deny, \ /usr/bin/systemctl restart sshd # 3.审计管理员:纯只读,无修改权限,免密查看日志审计 auditadmin ALL=(ALL) NOPASSWD: /usr/bin/cat /var/log/*, \ /usr/bin/tail /var/log/*, \ /usr/bin/less /var/log/*, \ /usr/bin/ausearch, /usr/bin/aureport, \ /usr/bin/dmesg, /usr/bin/last, /usr/bin/who

四、权限校验命令(配置完必执行验证)

# 查看指定用户sudo权限清单 sudo -l -U sysadmin sudo -l -U secadmin sudo -l -U auditadmin

五、三员权限职责划分(等保合规逻辑)

账号权限范围核心作用权限限制
sysadmin完整 root 权限系统部署、服务启停、软件安装、业务维护不负责安全策略、日志审计
secadmin仅安全类操作SSH/SELinux/ 防火墙 / 账号生命周期管理无删除、格式化、卸载高危命令
auditadmin只读日志审计查看系统日志、审计记录、登录记录无任何编辑、修改、删除权限

六、高频避坑要点

  1. 所有命令必须写绝对路径,不能简写 vim、cat;
  2. 多行权限用\换行,换行符后不能有多余空格;
  3. 只用visudo编辑sudoerssudo vim /etc/sudoers无语法校验,改错会锁死 sudo;
  4. 审计账号禁止授予 vim、rm、sed 等可修改文件的工具;
  5. 修改完必须执行sudo -l -U 用户名校验权限是否生效。

七、配套等保联动配置(和三员账号配套整改)

  1. SSH 禁止 root 远程登录:PermitRootLogin no
  2. SELinux 开启强制模式:SELINUX=enforcing
  3. 删除 / 锁定共享、过期闲置账号
  4. SSH / 防火墙配置 IP + 用户访问白名单