Linux零信任安全运维教程_身份认证与最小权限实践

零信任运维需落地强身份认证与最小权限执行：禁用SSH密码，启用CA签发的证书验证；通过sudoers实现命令级白名单与审计；用systemd用户服务隔离非root任务；引入OPA统一策略决策。

零信任不是口号，是运维必须落地的逻辑：默认不信任任何用户、设备或网络位置，每次访问都需验证身份、检查权限、动态授权。在 Linux 环境中，核心抓手就是强身份认证和最小权限执行——前者确保“你是谁”，后者确保“你能做什么”。

用 SSH 密钥+证书体系替代密码登录

密码登录是零信任的第一道破口。必须禁用密码认证，改用基于密钥的身份验证，并进一步升级为 OpenSSH 证书签名机制，实现集中签发、自动过期、细粒度约束。

• 生成 CA 密钥对（如 ca_key 和 ca_key.pub），只在可信控制节点保存私钥
• 为每个运维人员生成个人密钥对，用 CA 私钥签发用户证书：
  ssh-keygen -s ca_key -I user-john -n john -V +1w id_rsa.pub
  其中 -n john 指定授权用户名，-V +1w 设定证书有效期为一周
• 在目标服务器 /etc/ssh/sshd_config 中启用证书验证：
  TrustedUserCAKeys /etc/ssh/ca_key.pub
PubkeyAuthentication yes
  并禁用密码：PasswordAuthentication no
• 重启 sshd 后，用户只需用对应私钥连接，服务端自动校验证书有效性、签名、主体名与有效期

用 sudoers 规则实现命令级最小权限

避免给用户直接分配 root 权限，而是按任务定义可执行命令白名单。关键在于使用别名分组、限制路径、禁止 shell 逃逸、启用日志审计。

• 在 /etc/sudoers.d/deploy 中定义角色化规则（用 visudo -f 编辑）：
  Cmnd_Alias DEPLOY_CMD = /usr/bin/systemctl start nginx, /usr/bin/systemctl reload nginx, /bin/tar -xf /opt/releases/*.tar.gz -C /var/www/
%deployers ALL=(www-data) NOPASSWD: DEPLOY_CMD
• 强制指定完整路径，防止 PATH 劫持；禁止通配符滥用（如不用 /bin/sh -c）；添加 NOEXEC 防止子进程逃逸
• 启用 sudo 日志：Defaults logfile="/var/log/sudo.log"，配合 sudo -l 定期检查用户实际可用命令
• 结合 PAM 模块（如 pam_time.so）可进一步限制执行时段，例如仅允许工作日 9:00–18:00 执行部署命令

用 systemd 用户服务隔离非 root 运维任务

许多运维动作（如日志轮转、健康检查脚本、配置同步）无需 root 权限。利用 systemd --user 实例，在普通用户上下文中运行受控服务，天然实现进程隔离与资源限制。

AI图像编辑器

使用文本提示编辑、变换和增强照片

下载

• 用户首次启用：loginctl enable-linger $USER，确保登出后服务仍可运行
• 创建 $HOME/.config/systemd/user/cleanup.service，设置 User=alice、LimitNOFILE=1024、MemoryMax=50M
• 用 systemctl --user daemon-reload && systemctl --user enable --now cleanup.service 启用
• 所有日志自动归入 journalctl --user -u cleanup，与系统日志分离，便于审计归属

用 Open Policy Agent（OPA）统一策略决策点

当权限规则变多、涉及多个组件（SSH 登录、sudo、容器启动、API 调用）时，硬编码规则难以维护。OPA 提供声明式策略语言 Rego，可将权限逻辑抽离为可测试、可版本化的策略包。

• 部署 OPA 作为本地守护进程（opa run --server --addr=localhost:8181）
• 编写策略判断某用户能否执行某命令：
  allow { input.user.groups[_] == "db-admin"; input.command == "/usr/bin/pg_dump"; input.host in ["db-prod-01", "db-prod-02"] }
• 在 sudoers 中调用 OPA：
  Defaults env_keep += "OPA_URL" # 传入环境变量
  配合自定义 sudoers 插件或 wrapper 脚本向 http://localhost:8181/v1/data/linux/allow 发送请求，根据返回结果放行或拒绝
• 策略变更后 reload 即可生效，无需重启任何服务，也无需修改各组件配置

零信任运维不是一步到位的工程，而是持续收敛的过程：从关掉密码登录开始，到每条 sudo 命令都有明确依据，再到所有权限决策可追溯、可验证。它不增加复杂度，只是把原本模糊的“信任”变成清晰的“证据链”。