文章目录《Linux 运维 sudo 权限管理规范 v1.0》1) 目标(对应等保精神)2) 角色与分组定义(RBAC 落地)3) sudo 授权总原则(合规关键点)3.1 ✅ 必须做到3.2 ❌ 明令禁止(典型“测评扣分/高风险”项)4) 目录与文件结构(规范化,方便迎评取证)5) Defaults 基线(含“按组分日志”示例)6) 模板化授权示例(最小权限、可审计、可复核)6.1 Linux 系统运维(linux_admins)6.2 SRE 值班(sre_oncall)6.3 DBA(dba_team)6.4 DevOps / CI(devops_ci)7) 紧急 Break-glass(root)控制(等保“权限分离/审批”落地)8) 日志留存与集中采集(迎评证据链)附:等保2.0 条款 ↔ sudo 权限管理 映射表(测评口径)《Linux 运维 sudo 权限管理规范 v1.0》适用范围:生产/准生产环境中的管理员、运维、SRE、DBA、DevOps账号对sudo的使用与授权管理合规映射依据:GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全计算环境(身份鉴别 / 访问控制 / 安全审计)控制点1) 目标(对应等保精神)一人一号、可审计到自然人(禁止共享账号/共用 root)最小权限 + 权限分离(运维/安全/审计职责不混同)每一次提权操作都有不可抵赖的审计记录(日志受保护、可留存)2) 角色与分组定义(RBAC 落地)用组承载权限,人进组/出组走审批,不要把人直接写死进 sudoers。角色组(示例)含义是否允许 sudo?