一、前置准备创建三员账号# 系统管理员 useradd sysadmin passwd sysadmin # 安全管理员 useradd secadmin passwd secadmin # 审计管理员 useradd auditadmin passwd auditadmin创建账号并配置交互式登录 shell# 系统管理员 useradd -m sysadmin -s /bin/bash passwd sysadmin # 安全管理员 useradd -m secadmin -s /bin/bash passwd secadmin # 审计管理员 useradd -m auditadmin -s /bin/bash passwd auditadmin二、标准编辑命令必用禁止 vim 直接改文件# root执行自带语法校验改错不会锁死sudo visudo # 习惯vim编辑器先执行这行永久设置 echo export EDITORvim /etc/profile source /etc/profile三、visudo 完整标准配置直接复制粘贴# 全局加固参数放文件顶部 Defaults timestamp_timeout5 Defaults logfile/var/log/sudo.log Defaults secure_path/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin # 1.系统管理员全部root权限负责业务、系统运维 sysadmin ALL(ALL) ALL # 2.安全管理员仅安全配置最小权限不能删业务/系统文件 secadmin ALL(ALL) /usr/bin/vim /etc/ssh/sshd_config, \ /usr/bin/setenforce, \ /usr/bin/vim /etc/selinux/config, \ /usr/bin/firewall-cmd, \ /usr/bin/useradd, /usr/bin/usermod, /usr/bin/userdel, \ /usr/bin/passwd, \ /usr/bin/vim /etc/hosts.allow, /usr/bin/vim /etc/hosts.deny, \ /usr/bin/systemctl restart sshd # 3.审计管理员纯只读无修改权限免密查看日志审计 auditadmin ALL(ALL) NOPASSWD: /usr/bin/cat /var/log/*, \ /usr/bin/tail /var/log/*, \ /usr/bin/less /var/log/*, \ /usr/bin/ausearch, /usr/bin/aureport, \ /usr/bin/dmesg, /usr/bin/last, /usr/bin/who四、权限校验命令配置完必执行验证# 查看指定用户sudo权限清单 sudo -l -U sysadmin sudo -l -U secadmin sudo -l -U auditadmin五、三员权限职责划分等保合规逻辑账号权限范围核心作用权限限制sysadmin完整 root 权限系统部署、服务启停、软件安装、业务维护不负责安全策略、日志审计secadmin仅安全类操作SSH/SELinux/ 防火墙 / 账号生命周期管理无删除、格式化、卸载高危命令auditadmin只读日志审计查看系统日志、审计记录、登录记录无任何编辑、修改、删除权限六、高频避坑要点所有命令必须写绝对路径不能简写 vim、cat多行权限用\换行换行符后不能有多余空格只用visudo编辑sudoerssudo vim /etc/sudoers无语法校验改错会锁死 sudo审计账号禁止授予 vim、rm、sed 等可修改文件的工具修改完必须执行sudo -l -U 用户名校验权限是否生效。七、配套等保联动配置和三员账号配套整改SSH 禁止 root 远程登录PermitRootLogin noSELinux 开启强制模式SELINUXenforcing删除 / 锁定共享、过期闲置账号SSH / 防火墙配置 IP 用户访问白名单