Linux
監控工具的Linux使用者權限設置
我們有外部監控工具,它將通過 SSH 訪問我們的 linux 機器並讀取 top/ping/netstat/disk 活動。當我為此目的創建單獨的 ssh 密鑰和單獨的使用者時,我想知道我是否可以以任何方式限制該使用者,或者它必須是管理員使用者。
是否有任何使用者可以執行和不可以執行的細粒度控制?例如 scp 我們的數據庫轉儲不好,讀取頂級統計資訊或 ping 到另一台機器就可以了…
一個好的做法是創建一個幾乎沒有權限的使用者,然後設置 sudo。監控帳戶可以執行檢查狀態所需的命令,僅此而已。
在我的 Nagios 設置中,我有一個名為 nagios 的基本使用者,並結合瞭如下所示的 sudo 配置。
### Nagios commands nagios ALL=NOPASSWD: /etc/nagios_checks/*, /usr/lib/nagios/plugins/*