审计的要求:
线上环境研发只能有只读权限
那只能曲线救国了,两个用户,supdev是运维用来管理的,logview是研发用来只读日志的
一、首先确定系统有supdev用户存在
id supdev 通常supdev的id是511
二、增加新用户logview
我们确定logview的id是512,group是和supdev同组 useradd -u 512 -g supdev logview
三、程序的app以及数据目录不是在supdev的home目录下,而是在/data/servers下
所以我们把/data/servers下的目录都改成750,文件都改成640
1#!/bin/sh
2find /export/servers/ -type d ! -perm 0750 -exec chmod 0750 {}
3find /export/servers/ -type f ! -perm 0640 -exec chmod 0640 {}
1# ansible 模块
2- name: make dirs 0755
3 command: find {{ your_path }} -type d ! -perm 0750 -exec chmod 0750 {} \;
4
5- name: make files 0644
6 command: find {{ your_path }} -type f ! -perm 0640 -exec chmod 0640 {} \;
这样就可以了。logview可以去到/data/servers目录,可以看文件,但无法执行。
