零信任运维需落地强身份认证与最小权限执行:禁用SSH密码,启用CA签发的证书验证;通过sudoers实现命令级白名单与审计;用systemd用户服务隔离非root任务;引入OPA统一策略决策。
零信任不是口号,是运维必须落地的逻辑:默认不信任任何用户、设备或网络位置,每次访问都需验证身份、检查权限、动态授权。在 Linux 环境中,核心抓手就是强身份认证和最小权限执行——前者确保“你是谁”,后者确保“你能做什么”。
用 SSH 密钥+证书体系替代密码登录
密码登录是零信任的第一道破口。必须禁用密码认证,改用基于密钥的身份验证,并进一步升级为 OpenSSH 证书签名机制,实现集中签发、自动过期、细粒度约束。
- 生成 CA 密钥对(如
ca_key和ca_key.pub),只在可信控制节点保存私钥 - 为每个运维人员生成个人密钥对,用 CA 私钥签发用户证书:
ssh-keygen -s ca_key -I user-john -n john -V +1w id_rsa.pub
其中-n john指定授权用户名,-V +1w设定证书有效期为一周 - 在目标服务器
/etc/ssh/sshd_config中启用证书验证:TrustedUserCAKeys /etc/ssh/ca_key.pubPubkeyAuthentication yes
并禁用密码:PasswordAuthentication no - 重启 sshd 后,用户只需用对应私钥连接,服务端自动校验证书有效性、签名、主体名与有效期
用 sudoers 规则实现命令级最小权限
避免给用户直接分配 root 权限,而是按任务定义可执行命令白名单。关键在于使用别名分组、限制路径、禁止 shell 逃逸、启用日志审计。
- 在
/etc/sudoers.d/deploy中定义角色化规则(用visudo -f编辑):Cmnd_Alias DEPLOY_CMD = /usr/bin/systemctl start nginx, /usr/bin/systemctl reload nginx, /bin/tar -xf /opt/releases/*.tar.gz -C /var/www/%deployers ALL=(www-data) NOPASSWD: DEPLOY_CMD - 强制指定完整路径,防止 PATH 劫持;禁止通配符滥用(如不用
/bin/sh -c);添加NOEXEC防止子进程逃逸 - 启用 sudo 日志:
Defaults logfile="/var/log/sudo.log",配合sudo -l定期检查用户实际可用命令 - 结合 PAM 模块(如
pam_time.so)可进一步限制执行时段,例如仅允许工作日 9:00–18:00 执行部署命令
用 systemd 用户服务隔离非 root 运维任务
许多运维动作(如日志轮转、健康检查脚本、配置同步)无需 root 权限。利用 systemd --user 实例,在普通用户上下文中运行受控服务,天然实现进程隔离与资源限制。
- 用户首次启用:
loginctl enable-linger $USER,确保登出后服务仍可运行 - 创建
$HOME/.config/systemd/user/cleanup.service,设置User=alice、LimitNOFILE=1024、MemoryMax=50M - 用
systemctl --user daemon-reload && systemctl --user enable --now cleanup.service启用 - 所有日志自动归入
journalctl --user -u cleanup,与系统日志分离,便于审计归属
用 Open Policy Agent(OPA)统一策略决策点
当权限规则变多、涉及多个组件(SSH 登录、sudo、容器启动、API 调用)时,硬编码规则难以维护。OPA 提供声明式策略语言 Rego,可将权限逻辑抽离为可测试、可版本化的策略包。
- 部署 OPA 作为本地守护进程(
opa run --server --addr=localhost:8181) - 编写策略判断某用户能否执行某命令:
allow { input.user.groups[_] == "db-admin"; input.command == "/usr/bin/pg_dump"; input.host in ["db-prod-01", "db-prod-02"] } - 在 sudoers 中调用 OPA:
Defaults env_keep += "OPA_URL" # 传入环境变量
配合自定义sudoers插件或 wrapper 脚本向http://localhost:8181/v1/data/linux/allow发送请求,根据返回结果放行或拒绝 - 策略变更后 reload 即可生效,无需重启任何服务,也无需修改各组件配置
零信任运维不是一步到位的工程,而是持续收敛的过程:从关掉密码登录开始,到每条 sudo 命令都有明确依据,再到所有权限决策可追溯、可验证。它不增加复杂度,只是把原本模糊的“信任”变成清晰的“证据链”。
