一、三权分立设计思路

1、什么是三权

三权指的是配置 、授权 、审计 。

2、三员及权限的理解

（1）系统管理员（配置） ：主要负责系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

（2）审计管理员（审计） ：主要负责对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。

（3）安全管理员（授权） ：主要对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。

3、三员之三权

三权分立主要是废除超级管理员，将权限分配。 三员是三角色也是三人 ，每个人有自己的账户， 管理员与审计员必须非同一个人 。

4、权限划分

（1）系统管理员 ： 具有系统监控、网络配置、系统管理权限。

（2）安全管理员 ：具有系统监控、应用分析、数据中心（除配置日志、 系统日志）、策略配置、网络配置、用户管理、系统管理（基本配置、权限配置、告警配置、网页命令行、证书管理）。

（3）审计管理员 ：具有系统监控、应用分析、权限配置、权限模式（ 1. 不显示保存、 生效、配置向导的权限；2. 不能进入系统升级页面）。

5、“三员”职责

（1）系统管理员：主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。

（2）安全管理员：主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销，用户操作行为的安全设计，安全保密设备管理，系统安全事件的审计、分析和处理，应急条件下的安全恢复。

（3）审计管理员 ：主要负责对系统管理员和安全保密员的操作行为进行审计、分析和监督检查，及时发现违规行为并定期向系统安全保密管理机构汇报情况。

6、“三员”配置要求

（1）系统管理员 、安全保密管理员 和安全审计员 不能以其他用户身份登陆系统，不能查看和修改任何业务数据库中的信息，不能删改日志内容。

（2）涉密信息系统应由办单位内部人员担任，要求政治上可靠，熟悉涉密信息系统管理操作流程，具有较强的责任意识和风险防控意识，并签署保密承诺书。

（3）系统管理员 和安全保密管理员 可由信息化部门专业技术人员 担任，对于业务性较强的涉密信息系统可由相关业务部门担任，安全审计员 根据工作需要由保密部门或其他能胜任安全审计员 工作的人员担任。

（4）同一设备或系统的系统管理员和安全审计员不能由同一人兼任，安全保密管理员和安全审计员不得由同一人兼任 。

二、Linux三权分立的用户创建

1、系统管理员

（1）创建系统管理员（sysadmin 用户）并设置密码

[root@localhost ~]# useradd sysadmin
[root@localhost ~]# passwd sysadmin

（2）创建组并将用户添加到组（/var 是要给用户权限访问的路径），并设置目录权限。

注：这一步骤需要根据业务来确定是否配置以及配置的内容。

[root@localhost ~]# groupadd sysgroup
[root@localhost ~]# usermod -G sysgroup sysadmin
[root@localhost ~]# chown -R sysadmin:sysgroup /var
[root@localhost ~]# chmod 741 /var

2、安全管理员

（1）创建用户并指定登录的起始目录

[root@localhost ~]# useradd -d /etc syssafe
[root@localhost ~]# passwd syssafe

（2）只允许syssafe 用户访问/etc ，设置目录权限

注：这一步骤需要根据业务来确定是否配置以及配置的内容。

[root@localhost ~]# chown -R syssafe:syssafe /etc
[root@localhost ~]# chmod 700 /etc

3、审计管理员

（1）创建用户

[root@localhost ~]# useradd sysaudit
[root@localhost ~]# passwd sysaudit

（2）设置sysaudit 用户只有sudo 的查看权限

vi 编辑/etc/sudoers ，并在文件中加入以下语句：

sysaudit   ALL = (ALL) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

其中，sysaudit ALL = (ALL) 表示sysaudit 用户在免密的情况下sudo 使用查看文件的命令。

如果是所有sudo 命令的话，可以把命令改为：

sysaudit   ALL = (ALL) NOPASSWD: ALL

注：如/etc/sudoers 无法修改保存

检查sudoers 文件的权限设置是否正确。您可以使用以下命令检查权限设置：

ls -l /etc/sudoers

如果权限设置不正确，则可以使用以下命令更改权限：
440是默认文件权限 ，如果需要修改，需要改成660 

chmod 440 /etc/sudoers

（3）设置只能sysaudit 用户访问/var/log ，配置目录权限

注：这一步骤需要根据业务来确定是否配置以及配置的内容。

[root@localhost ~]# chown -R sysaudit:sysaudit /var/log
[root@localhost ~]# chmod 700 /var/log

重启后主机无法连接ssh，解决方法：

（1）查看ssh 状态（显示inactive ）

systemctl status sshd

（2）查看NetworkManager 状态（开启的话就关闭并设置开机不启动）

systemctl status NetworkManager
systemctl stop NetworkManager
systemctl disable NetworkManager

（3）尝试重启ssh 服务

systemctl restart sshd

（4）systemctl status sshd 查看ssh 状态，如果报错：failed to start openssh server daemon 

chown -R root:root /var/empty/sshd
sshd -t
systemctl restart sshd
systemctl status sshd

（5）systemctl status sshd 查看到ssh 状态为active 就可以使用ssh 连接了