由於各部門員工對Linux的熟悉程度參差不齊，所以經常會產生一些誤操作，以至於造成服務器宕機或重要文件的丟失。所以使用權限最小化可以盡可能的降低安全隱患，有利於提高工作效率，降低維護的成本。

具體實現：

根據各個部門的職能，等級，分層次的進行部署，分布實現Linux服務器的權限最小化。進行普及性的sudo的使用培訓，使其在兩個月到三個月內可以徹底適應這種權限內的操作。

具體實施：

1、首先在各部門的負責人手中獲取每位員工涉及到需要使用的權限。

2、根據各部門負責人提供的信息，運維人員給出所需的最小權限。

3、在權限改造項目完成後，根據各部門所反饋的信息，為某些人員添加權限，以達到日常的項目可以正常的進行。

4、在保證工作可以正常運行後，建立權限使用申請表，已提供某些員工臨時需要使用一些命令所用。

項目所需知識點詳解：

sudo是Linux的系統管理指令，是允許系統管理員讓普通用戶執行一些或者全部的系命令的工具。我們可以通過使用命令visudo或編輯vim /etc/sudoers這個文件來達到權限限制的目的。

sudo文件講解：

sudo文件中會提供一個例子： root ALL=(ALL) ALL

用戶 機器 誰的權限 使用的權限

這樣一個用戶一個用戶的設置，如果需要加權限的人太多，容易造成遺漏，或一些錯誤，所以這裏建議采用別名的方法。

User_ALIAS ADMINS= 用戶名用逗號分隔 還可以使用%加組名 （ADMINS可以根據自己需求進行定義）

Host_Alias FILESERVERS=fs1，fs2

Host_Alias MAILSERVERS=smtp1，smtp2

Cmnd_Alias NETWOEKING=命令的絕對路徑

其中sudo配置文件 /etc/sudoers授權規則的註意事項：

1）被授權的所有的ALL字符串必須是大寫字母

2）將排除不執行的命令寫在後面

例：/usr/sbin/*，/sbin/*，！/usr/sbin/visudo

3）在使用visudo編輯完文件後，最好使用visudo -c進行語法檢查，如出現語法錯誤將造成所有設置失效。所以不建議使用重定向。

利用sudo進行服務器用戶權限管理的改造方案