用于审计目的的 Linux 用户

用于审计目的的 Linux 用户

是否可以创建一个具有只读 root 权限的用户,以便该用户可以看到整个文件系统,但无法更改任何内容?

这适用于审计和故障排除场景,我们希望授权某人进行调查,但不希望他们搞砸。

答案1

不建议授予用户对整个文件系统的权限。但是,我们可以使用 ACL 授予用户仅限于少数目录的权限。

喜欢,

setfacl -R -m u:readOnlyUser:r /var/log
  • -R递归地授予权限
  • -m修改ACL
  • u用户修改(readOnlyUser)
  • r只授予读取权限

同样,我们可以给多个目录。

答案2

您到底想审核什么?您需要的大多数信息可能可以在系统或应用程序日志中找到。如果没有,请查看是否可以配置(或修改应用程序以记录相关活动)。 Unixy 系统作为服务器已经有很长一段时间了,如果你的要求以前没有引起别人的兴趣,那就很不寻常了。搜索/询问您的具体要求。对此类数据进行分段,以便能够根据需要了解的情况来限制访问,可能会有所回报。

相关内容