Linux 如何限制危险操作？

This topic created in 2137 days ago, the information mentioned may be changed or developed.

昨天有个运维哥们用 root 把一个数据文件给清了，造成了事故。平时值班的时候确实有 root 方便一些，比如变更一些代理配置，排查一些系统问题，普通用户通常权限不够。但是给了 root，而且是跳板机的 root 还是风险很大的。如果是用一台机器的 root 就申请一次，一天可能得申请很多次，领导也顶不住。有没有什么方案能避免这种情况？

root

跳板机

Linux

申请

26 replies • 2020-08-03 18:08:10 +08:00

msg7086

Jul 31, 2020

操作之前先过一下脑子就行了。

什么是危险操作？运维本身就是危险操作。你要防止危险操作，那就得把运维开了。

Yut

Jul 31, 2020 via Android

直接点的话给每个账户上 root 然后限制可以执行的命令完事，毕竟排除蓄意的可能话这样最方便
但是这个需求会出现说明你们公司的整个运维结构有问题

love

Jul 31, 2020

二个人一起操作？

charlie21

Jul 31, 2020

linux 的鉴权机制是很够的阿，你不用

felixcode

PRO

Jul 31, 2020 via Android

给普通用户，限制 sudo 权限。

Reficul

Jul 31, 2020

基于配置的不可变架构，运维的时候不能登陆机器，只能修改目标描述。

Reficul

Jul 31, 2020

描述变更再配合 Git 的版本管理以及 CodeReview 。

zhoudaiyu

PRO

Jul 31, 2020 via iPhone

@msg7086 那哥们当时没过脑子
@Yut 这种除了换 shell 还有别的方式吗
@love 回家值班的时候没法两人操作啊
@Reficul 你的意思是通过 HTTP 的方式吗
@felixcode 这个不错

beautwill

Jul 31, 2020

首先跳板机不应该有权限登录，可以在办公网络里设置个 ssh 代理，通过代理访问服务器。
账号的话可以创建一个只读用户和用户组，设置所有的用户都是一个用户组，这样平时只要用这个只读账号就可以查看文件、日志等操作。

Reficul

Jul 31, 2020

@zhoudaiyu

就是类似 Kubernetes/NixOS 那种声明方式的描述，只描述目标状态，怎么达到目标状态由代码决定后自动执行。

zhoudaiyu

PRO

Jul 31, 2020 via iPhone

@Reficul 最好是这样，但是需要开发一段时间

msg7086

Jul 31, 2020

@zhoudaiyu 那就让他过脑子呗。
很多事情在不过脑子的情况下都会出事故，所以根本问题是做改动之前要再三确认。
比如上面说的 Code Review 或者 Over shoulder 都是比较好的办法。
大家都是人类，总会翻错的，只能靠堆人力来避免一个人脑抽搞挂整个系统。
当然了，盯着的眼睛越多，效率也越低。速度和安全是不可兼得的。
你愿意让人回家值班的时候操作生产机，那必然要承受搞挂系统的风险。
你要限制危险操作，必然就没办法让运维单人及时处理事故。

msg7086

Jul 31, 2020

我司之前客服上客户生产机做复杂操作的时候，就是两个人一起做，他负责敲键盘，我坐在他旁边负责审查他的输入。他提出要做的事，我提出做法，他输入进命令行，我检查完输入后确认执行，然后他敲下回车。
这样我俩要同时脑抽才会出事故，相对来说几率就低很多。

要追求极致的话可以去看看飞航座舱管理，是无数鲜血换来的双人三人机组尽可能避免单人脑抽导致坠机的经验，我觉得还是挺有学习意义的。