Commandes privilégiées du Serveur MID

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Pour détecter certaines informations sur un serveur hôte, le MID Server doit exécuter des commandes SSH avec des privilèges plus élevés. La plateforme fournit des commandes privilégiées par défaut que le MID Server doit utiliser et la possibilité d'ajouter des commandes supplémentaires au système.

    Relie à chacune des sections du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Un exemple d’informations qui nécessitent des privilèges élevés est les informations sur les disques de stockage sur un serveur hôte, récupérées à l’aide de la commande fdisk -l . Si votre système ne peut pas utiliser les commandes sudo, vous devez configurer les hôtes de votre réseau pour qu’ils utilisent l’une des autres commandes privilégiées. Vous pouvez configurer différentes commandes privilégiées pour différents hôtes. Toutefois, Découverte il ne prend en charge qu’une seule commande privilégiée par hôte.

    Important :
    Vous pouvez modifier les commandes privilégiées prises en charge, mais ne les supprimez pas.

    Pour obtenir la liste des commandes SSH possibles nécessitant des privilèges root, consultez Informations d’identification SSH.

    Tableau 1. Exigences de commande d’escalade privilégiée SSH
    Commande Description
    sudo
    • L’hôte doit prendre en charge la commande sudo -S -p <mot de passe> et renvoyer la liste correcte des commandes SSH autorisées.
    • Les informations d’identification fournies pour Détection doivent pouvoir exécuter la commande sudo -S -p <mot de passe> <commandes>.
    pbrun
    • L’hôte doit prendre en charge la commande pbrun -v et renvoyer la version correcte de PowerBroker.
    • Les informations d’identification fournies pour Détection doivent pouvoir exécuter des <commandes> pbrun.
    • Discovery ne prend pas en charge d’autres options pbrun , telles qu’une invite de mot de passe.
    • L’instance doit être en mesure d’atteindre l’hôte cible via SSH.
    pfexec
    • L’hôte doit prendre en charge la commande pfexec id-a et renvoyer l’ID correct.
    • Les informations d’identification fournies pour Détection doivent pouvoir exécuter des <commandes> pfexec.
    • Discovery ne prend pas en charge d’autres options pfexec , telles qu’une invite de mot de passe.
    dzdo
    • L’hôte doit prendre en charge la commande –v dzdo et renvoyer le chemin d’accès à dzdo dans la sortie standard.
    • Les informations d’identification fournies doivent Découverte pouvoir exécuter dzdo <commands>.
    • Discovery ne prend pas en charge d’autres options dzdo – mais Découverte prend en charge l’authentification par mot de passe pour dzdo.

    Commandes de longue durée avec sudo

    Configurez J2SSH et ServiceNow SSH pour éviter l’échec des commandes de longue durée utilisant sudo lorsque le serveur MID se déconnecte.

    ServiceNow SSH permet aux sondes d’exécuter Sudo sur des commandes individuelles ou sur un script entier de longue durée. Ceci est également pris en charge pour les pbrunpfexec commandes privilégiées.

    Sudo pour les commandes individuelles

    Vous pouvez exécuter Sudo par rapport à des commandes individuelles au sein d’une sonde, mais uniquement si toutes les configurations sudoer suivantes sont exécutées sur la cible :
    • L’option !requiretty est requise.
    • Autorisez l’exécution des commandes individuelles par l’utilisateur dans les informations d’identification fournies avec NOPASSWD configuré.
    • La cible spécifie un appel sudo individuel dans la commande ou les scripts référencés. Par exemple, définissez sudo comme « sudo fdisk -I » ou « ${sudo :fdisk -I} » plutôt que « must_sudo » pour l’ensemble du script.
    Remarque :
    L’exécution de sudo sur des commandes individuelles avec ServiceNow SSH produit des entrées détaillées et utiles dans les journaux sudo sur l’ordinateur cible.

    Exécution de sudo sur un script entier

    Si l’une des exigences de configuration sudoer requises pour les commandes individuelles n’est pas en place, Détection applique Sudo aux sondes initiale et complète, et n’exécute pas Sudo à distance à l’intérieur de la commande. Cette condition peut être forcée en définissant must_sudo sur la sonde et en éliminant toute commande sudo dans la sonde.

    Cette approche empêche les commandes de longue durée d’échouer lorsque la sonde se déconnecte, mais ne peut pas spécifier de commandes individuelles dans la configuration sudoers.

    Connexion

    Les journaux de l’exécution de ServiceNow l’activité sudo SSH sur un script entier présentent des entrées cryptiques, telles que /tmp/.run.aef13123fe124123, qui empêchent les administrateurs de contrôler les commandes autorisées et de connaître la commande exacte qui a été exécutée. L’exécution de Sudo sur des commandes individuelles produit des entrées de journal plus détaillées, telles que /sbin/fdisk –l.

    Ajouter une nouvelle commande privilégiée à utiliser par le serveur MID

    Ajoutez une nouvelle commande privilégiée à la table Commande privilégiée [privileged_command] disponible pour vos MID Servers.

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Important :
    Ne supprimez aucune des commandes prises en charge.

    Procédure

    1. Accédez à la Tout > Serveur MID > Commande privilégiée et cliquez sur Nouveau.
    2. Renseignez ces champs :
      • Commande : nom de la commande privilégiée.
      • Invite de mot de passe : invite de mot de passe affichée à l’utilisateur pour cette commande privilégiée, ou une expression régulière qui correspond à cette invite de mot de passe. Si ce champ est vide, aucun mot de passe n’est requis pour cette commande privilégiée et aucune invite n’est affichée. Les commandes SUDO ne nécessitent pas d’invite de mot de passe.
    3. Cliquez sur Envoyer.

    Configurer le serveur MID pour utiliser des commandes privilégiées spécifiques

    Vous pouvez configurer le serveur MID pour utiliser des commandes spécifiques dans un ordre défini.

    Avant de commencer

    Rôle requis : administrateur

    Procédure

    1. Accédez à la liste des MID Servers en utilisant l’un des chemins suivants :
      • Serveur MID > Serveurs
      • Découverte > Serveurs MID
      • Orchestration > Serveurs MID
    2. Sélectionnez le Serveur MID que vous voulez configurer.
    3. Cliquez sur l’icône de menu dans la barre d’en-tête et sélectionnez Vue > Avancés dans le menu contextuel.
      Figure 1. Sélection de la vue Avancé
      Sélection de la vue Avancé
    4. Dans la liste connexe à Commande privilégiée , cliquez sur Modifier.
    5. Sélectionnez la commande que vous souhaitez que ce serveur MID utilise et cliquez sur Enregistrer.
      L’ordre par défaut des commandes privilégiées est 100, mais vous pouvez modifier l’ordre si nécessaire. La commande privilégiée dont le numéro d’ordre est le plus petit est essayée en premier.
      Figure 2. Liste des commandes privilégiées à utiliser pour un serveur MID
      Liste des commandes privilégiées à utiliser pour un serveur MID

    Créer une commande privilégiée de profil pbrun

    Vous pouvez créer une configuration spéciale pour la commande privilégiée afin de lui pbrun permettre de s’exécuter en tant que profil.

    Avant de commencer

    Rôle requis : discovery_admin, admin

    Pourquoi et quand exécuter cette tâche

    De toutes les commandes privilégiées, seule la pbrun commande peut être configurée pour s’exécuter en tant que profil, et une seule de ces configurations spéciales pbrun peut fonctionner sur un MID Server.
    Important :
    Modifiez l’enregistrement existant pbrun à cette fin. Le système ignore toutes les commandes supplémentaires que vous créez pour pbrun.

    Procédure

    1. Accédez à la Tout > Serveur MID > Commande privilégiée.
    2. Sélectionnez pbrun dans la liste.
    3. Dans l’enregistrement Commande privilégiée, modifiez la valeur du champ Commande pour utiliser le format pbrun -u <profile>.
      Par exemple, vous pouvez définir pbrun -u admin comme une commande à exécuter avec un profil d’administrateur.
    4. Cliquez sur Mettre à jour.

    Que faire ensuite

    Revenir à Configuration des MID Servers.