Linux 如何限制危险操作?

2020-07-31 12:54:46 +08:00
 zhoudaiyu
昨天有个运维哥们用 root 把一个数据文件给清了,造成了事故。平时值班的时候确实有 root 方便一些,比如变更一些代理配置,排查一些系统问题,普通用户通常权限不够。但是给了 root,而且是跳板机的 root 还是风险很大的。如果是用一台机器的 root 就申请一次,一天可能得申请很多次,领导也顶不住。有没有什么方案能避免这种情况?
3315 次点击
所在节点    问与答
26 条回复
ceyes
2020-07-31 22:05:52 +08:00
流程上要有分权和变更管理等措施。
技术上 Google 有个 zreo touch 的理念,自动化控制服务部署,以避免人为失误,可以参考他的开源书-site reliability engineering
lxilu
2020-08-01 00:22:14 +08:00
SELinux
msg7086
2020-08-01 05:02:52 +08:00
@zhoudaiyu 钱少没药救。
放在这个行业还算好的,要出事顶多嫩死几台服务器。
其他行业,要是上建筑工地啊,或者开卡车啊,都让新手干的话怕不是要出人命了。
YaakovZiv
2020-08-01 08:51:41 +08:00
运维为啥要删除那个文件
运维有权限删除文件吗
是否能删除文件是谁和运维沟通的,是运维自己说了算吗
权限管理,要不就上堡垒机监控一下。或者做定时备份,出问题了再倒回。
Yut
2020-08-01 15:18:08 +08:00
@zhoudaiyu 为啥要换 shell 呢,在 bash 里就可以给各个 user 限制它能执行的命令啊,比如说 ls 什么的都是有个相当于软链接到一个个程序的,手动配置这个就行了我记得就是每个 user 给个单独的 bin folder 然后只 link 给用的程序就完事了
byzf
2020-08-03 18:08:10 +08:00
每天要操作的事情都是后台调用脚本, 不开终端.

以我司的网络环境和公司分配给我的卡壳键盘漂移鼠标和 8G 内存, 很难保证我执行的命令不出问题.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/694605

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX