linux 权限管理

前言：

　　linux直接使用root权限是比较危险的，容易误操作导致不可挽回的后果，但如果使用低权限的账号，在实际的工作中却带来了很大的不便，每次进行操作时都需要输入root密码，这个问题有个折中的方案，对/etc/sudoers文件进行适当的修改，在使用需要使用root账户时，直接在普通账户ansible的前面加上sudo即可，也不用再输入root的密码，在减低风险的同时，没有增加操作复杂度。

 脚本内容为添加ansible用户，并进行以上操作

#!/bin/bash
read -p "Enther Server ip: " ip

password=`sed -n '1p' ./passwd`

echo

ssh root@$ip "useradd ansible;echo $password | passwd --stdin ansible;usermod -aG wheel ansible;chmod 755 /etc/sudoers;sed -i '/\%wheel\tALL=(ALL)\tALL/s/^/#/1' /etc/sudoers;sed -i '/\%wheel\tALL=(ALL)\tNOPASSWD/s/# //1' /etc/sudoers;chmod 440 /etc/sudoers"

 　　一般来说，根据技术人员的等级来划分，一个系统应该至少有三个账户，一个超级管理员root，一个业务管理员，根据本地业务的不同来命名，如oracle，mysql，ansible，或根据本地的业务组件来命名，等等，第三个账户应该为低权限的普通账户，对较低水平的技术人员开放，仅包含日常巡检的目录的一些权限，可以通过facl权限来实现，这样的话，可以最大程度的根据技术人员等级来进行不同的权限划分，避免因权限问题导致的误操作，密码泄露等安全问题。