前言:
linux直接使用root权限是比较危险的,容易误操作导致不可挽回的后果,但如果使用低权限的账号,在实际的工作中却带来了很大的不便,每次进行操作时都需要输入root密码,这个问题有个折中的方案,对/etc/sudoers文件进行适当的修改,在使用需要使用root账户时,直接在普通账户ansible的前面加上sudo即可,也不用再输入root的密码,在减低风险的同时,没有增加操作复杂度。
脚本内容为添加ansible用户,并进行以上操作
#!/bin/bash
read -p "Enther Server ip: " ip
password=`sed -n '1p' ./passwd`
echo
ssh root@$ip "useradd ansible;echo $password | passwd --stdin ansible;usermod -aG wheel ansible;chmod 755 /etc/sudoers;sed -i '/\%wheel ALL=(ALL) ALL/s/^/#/1' /etc/sudoers;sed -i '/\%wheel ALL=(ALL) NOPASSWD/s/# //1' /etc/sudoers;chmod 440 /etc/sudoers"
一般来说,根据技术人员的等级来划分,一个系统应该至少有三个账户,一个超级管理员root,一个业务管理员,根据本地业务的不同来命名,如oracle,mysql,ansible,或根据本地的业务组件来命名,等等,第三个账户应该为低权限的普通账户,对较低水平的技术人员开放,仅包含日常巡检的目录的一些权限,可以通过facl权限来实现,这样的话,可以最大程度的根据技术人员等级来进行不同的权限划分,避免因权限问题导致的误操作,密码泄露等安全问题。