linux三权分立

管理员账号（root）：拥有所有操作权限
普通系统账号：具有基本的操作权限
审计账号：对各类日志及文件只具有查看权限
实现步骤：
1、root管理员系统安装时自动设置
2、普通系统账号创建
[root@localhost ~]# useradd shenji（用户名）
[root@localhost ~]# passwd shenji（设置密码）
普通账号权限具体需要根据实际需求设置，一般已有的权限可以满足需求（通过sudo授权控制权限）
3，审计账号：审计账号只用于审计功能，其权限可在普通账号基础上进行修改
1） 创建审计账号shenji（方法同普通账号，如上图）
2） 修改审计账号权限使其只具有查看功能
[root@localhost ~]# setfacl -m u:shenji:rx /* （设置权限控制）
给shenji用户授权，修改/etc/sudoers文件，在文件最下边添加如下内容
shenji ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head
至此设置完成，审计用户shenji此时只有查看权限，查看命令如下：
[shenji@localhost ~]$ sudo tail /var/log/messages