1. 创建用户和设置密码

# 创建系统管理员

sudo useradd sysadmin

echo "sysadmin:密码" | sudo chpasswd

# 创建安全管理员

sudo useradd secadmin

echo "secadmin:密码" | sudo chpasswd

# 创建审计管理员

sudo useradd auditadmin

echo "auditadmin:密码" | sudo chpasswd

2. 创建用户组

# 创建用户组

sudo groupadd sysadmin_group

sudo groupadd secadmin_group

sudo groupadd auditadmin_group

# 将用户添加到相应的用户组

sudo usermod -aG sysadmin_group sysadmin

sudo usermod -aG secadmin_group secadmin

sudo usermod -aG auditadmin_group auditadmin

3. 配置 sudo 权限

sudo visudo

# 系统管理员权限

sysadmin ALL=(ALL) NOPASSWD: ALL

# 安全管理员权限（可以是特定命令）

secadmin ALL=(ALL) NOPASSWD: /sbin/iptables, /usr/sbin/sshd

# 审计管理员权限（通常只允许查看日志）

auditadmin ALL=(ALL) NOPASSWD: /usr/bin/tail /var/log/*

4. 配置文件和目录权限

# 为系统管理员设置权限

sudo touch /etc/some_sensitive_file

sudo chown sysadmin:sysadmin_group /etc/some_sensitive_file

sudo chmod 600 /etc/some_sensitive_file

# 为安全管理员设置权限

sudo touch /var/log/some_security_logs

sudo chown secadmin:secadmin_group /var/log/some_security_logs

sudo chmod 640 /var/log/some_security_logs

# 为审计管理员设置权限

sudo chown auditadmin:auditadmin_group /var/log/*

sudo chmod 640 /var/log/*

5. 配置审计系统  

# 安装 auditd（如果未安装）

sudo apt-get install auditd

# 配置审计规则

sudo bash -c 'echo "-w /etc/some_sensitive_file -p rwxa -k sensitive_file_access" >> /etc/audit/audit.rules'

# 重启审计服务

# 安装 auditd（如果未安装）

sudo apt-get install auditd

# 配置审计规则

sudo bash -c 'echo "-w /etc/some_sensitive_file -p rwxa -k sensitive_file_access" >> /etc/audit/audit.rules'

# 重启审计服务

# 安装 auditd（如果未安装）sudo apt-get install auditd

# 配置审计规则sudo bash -c 'echo "-w /etc/some_sensitive_file -p rwxa -k sensitive_file_access" >> /etc/audit/audit.rules'

# 重启审计服务sudo systemctl restart auditd

查看审计日志:

# 查看审计日志

sudo ausearch -sc some_command

sudo aureport -au

6. 定期审查权限

# 查看用户组和权限

id sysadmin

id secadmin

id auditadmin

# 查看sudo权限

sudo -l -U sysadmin

sudo -l -U secadmin

sudo -l -U auditadmin