Linux 运维 sudo 权限管理规范 v1.0【20260526】001篇
文章目录
- 《Linux 运维 sudo 权限管理规范 v1.0》
- 1) 目标(对应等保精神)
- 2) 角色与分组定义(RBAC 落地)
- 3) sudo 授权总原则(合规关键点)
- 3.1 ✅ 必须做到
- 3.2 ❌ 明令禁止(典型“测评扣分/高风险”项)
- 4) 目录与文件结构(规范化,方便迎评取证)
- 5) Defaults 基线(含“按组分日志”示例)
- 6) 模板化授权示例(最小权限、可审计、可复核)
- 6.1 Linux 系统运维(linux_admins)
- 6.2 SRE 值班(sre_oncall)
- 6.3 DBA(dba_team)
- 6.4 DevOps / CI(devops_ci)
- 7) 紧急 Break-glass(root)控制(等保“权限分离/审批”落地)
- 8) 日志留存与集中采集(迎评证据链)
- 附:等保2.0 条款 ↔ sudo 权限管理 映射表(测评口径)
《Linux 运维 sudo 权限管理规范 v1.0》
适用范围:生产/准生产环境中的管理员、运维、SRE、DBA、DevOps账号对sudo的使用与授权管理
合规映射依据:GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全计算环境(身份鉴别 / 访问控制 / 安全审计)控制点
1) 目标(对应等保精神)
- 一人一号、可审计到自然人(禁止共享账号/共用 root)
- 最小权限 + 权限分离(运维/安全/审计职责不混同)
- 每一次提权操作都有不可抵赖的审计记录(日志受保护、可留存)
2) 角色与分组定义(RBAC 落地)
用组承载权限,人进组/出组走审批,不要把人直接写死进 sudoers。
| 角色组(示例) | 含义 | 是否允许 sudo? |
|---|