CentOS 7系统权限调优实战:禁止sudo用户访问特定目录的完整过程
在Linux系统安全实践中,权限最小化原则是核心准则。本文记录一次针对CentOS 7系统的权限调优操作,目标是限制sudo用户访问特定敏感目录。
风险背景
某次安全审计发现,所有sudo用户均能通过sudo命令访问/etc/ssl/private目录下的私钥文件,存在信息泄露风险。需要在不破坏系统功能的前提下,实现细粒度的权限控制。
实施方案
首先确认当前环境:
# 查看系统版本
cat /etc/redhat-release
# 检查sudoers配置
sudo visudo -c
具体操作步骤
-
创建用户组
sudo groupadd -r secureusers sudo usermod -aG secureusers user1 -
配置sudo权限 编辑
/etc/sudoers.d/secure-access文件:# 禁止特定组用户访问敏感目录 Cmnd_Alias SECURE_DIR = /bin/ls, /usr/bin/find /etc/ssl/private/* secureusers ALL=(ALL) !SECURE_DIR -
验证配置
sudo -l -U user1
注意事项
- 该方法依赖sudoers的别名机制,需确保语法正确
- 建议在生产环境前先在测试环境验证
- 需要定期审计sudoers配置文件变更
此方案成功限制了特定用户组对敏感目录的访问权限,同时保留了必要的系统管理功能。
讨论