三权分立

目标： 管理员账号（root）：拥有所有操作权限 普通系统账号：具有基本的操作权限 审计账号：对各类日志及文件只具有查看权限 实现步骤： 1，root管理员系统安装时产生，不过多阐述 2， 普通系统账号创建 [root@localhost ~]# useradd test（用户名） [root@localhost ~]# passwd test（设置密码） 普通账号权限具体需要根据实际需求设置，一般已有的权限可以满足需求（通过sudo授权控制权限） 3，审计账号：审计账号只用于审计功能，其权限可在普通账号基础上进行修改 1） 创建审计账号shenji（方法同普通账号，如上图） 2） 修改审计账号权限使其只具有查看功能 [root@localhost ~]# setfacl -m u:shenji:rx /* （设置权限控制） 给shenji用户授权，修改/etc/sudoers文件，在文件最下边添加如下内容 shenji ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head 至此设置完成，审计用户shenji此时只有查看权限，查看命令如下： [shenji@localhost ~]$ sudo tail /var/log/messages