SSH-Anmeldeinformationen

Yokohama-Plattformsicherheit

Release

yokohama

ft:locale

de-DE

ft:publication_title

Yokohama-Plattformsicherheit

ft:clusterId

psec

bundleId

psec

workflow

Platform

SSH-Anmeldeinformationen

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

9 Minuten Lesedauer

Discovery, Orchestration und IntegrationHubErkunden UNIXUnd LinuxGeräte, die SSH-Anmeldeinformationen verwenden, um Befehle über Secure Shell (SSH) auszuführen. SSH-Befehle müssen mit Stammberechtigungen ausgeführt werden, entweder mit Stamm-Anmeldeinformationen oder mithilfe von sudo. Anmeldeinformationen für privaten SSH-Schlüssel bieten zusätzliche Sicherheit.

Gewährung von Stammberechtigungen

Bevor Sie Stammberechtigungen gewähren, überprüfen Sie Ihre Sicherheitsrichtlinie und -Optionen mit dem Sicherheitsteam Ihrer Organisation.

Verwenden Sie einen der folgenden Ansätze, damit Anwender SSH-Befehle mit Stammberechtigungen ausführen können:

Geben Sie andere Anmeldeinformationen für an Discovery, Orchestration oder IntegrationHub, Aber gewähren Sie dem Anwender in diesen Anmeldeinformationen das Recht, bestimmte Befehle mit Stammberechtigungen auszuführen Sudo . Dies ist eine sichere Möglichkeit, eingeschränkte Berechtigungen zu gewähren. Discovery, Orchestration oder IntegrationHubVerwenden Sie sudo für jede Probe, die über verfügt Muss_sudo Parameter auf festgelegt Wahr (Standardmäßig ist festgelegt Falsch ). Jedes System muss jedoch so konfiguriert werden, dass sudo funktioniert. Dies erfolgt durch Bearbeiten von /Etc/sudoers Datei mit Visudo Befehl.
Geben Stamm Anmeldeinformationen. Dies sind offensichtlich die leistungsstärksten Anmeldeinformationen, sind aber aus Sicherheitssicht möglicherweise nicht wünschenswert. Wenn Discovery, Orchestration oder IntegrationHubHaben die Stamm-Anmeldeinformationen für beliebig UNIXOder LinuxSystem, keine weitere Konfiguration erforderlich.

Privilegierte Befehle

Die Plattform bietet standardmäßige privilegierte Befehle für den MID-Server und die Möglichkeit, dem System zusätzliche Befehle hinzuzufügen. Details zur Verwendung von sudo und anderen privilegierten Befehlen finden Sie unter Privilegierte MID-Server-Befehle .

Anmeldeinformationstyp des privaten SSH-Schlüssels

Hinweis:

Anmeldeinformationen für privaten SSH-Schlüssel sollten in den meisten Fällen verwendet werden. Sie bieten eine bessere Sicherheit als SSH-Passwortanmeldeinformationen, einschließlich vor MitM-Angriffen (man-in-the-Middle), bei denen die Kommunikation zwischen zwei Parteien abgefangen wird.


Feld	Eingabewert
Name	Eindeutiger und beschreibender Name für diese Anmeldeinformationen. Sie können es beispielsweise anrufen SSH Atlanta .
Aktiv	Aktivieren oder deaktivieren Sie diese Anmeldeinformationen zur Verwendung.
Anwendername	Geben Sie einen UNIX- oder Linux-Anwendernamen ein. Vermeiden Sie führende oder nachfolgende Leerzeichen in Anwendernamen. Eine Warnung wird angezeigt, wenn die Plattform führende oder nachfolgende Leerzeichen im Anwendernamen erkennt.
Passwort	Geben Sie das UNIX- oder Linux-Passwort ein. Für Privater SSH-Schlüssel Geben Sie Anmeldeinformationen ein. Geben Sie das sudo-Passwort ein, wenn eines für den Anwendernamen erforderlich ist.
SSH-Passwortsatz	Geben Sie eine sichere SSH-Passphrase ein. Dieses Feld ist nur für verfügbar Privater SSH-Schlüssel Anmeldeinformationen.
Privater SSH-Schlüssel	Geben Sie einen sicheren, RSA-, DSA-, ECDSA- oder ED25519-privaten Schlüssel ein. Der private Schlüssel muss im richtigen Format eingegeben werden, um sicherzustellen, dass er korrekt verschlüsselt ist. Der private Schlüssel muss mit der Zeichenfolge beginnen `----- BEGINNEN` . Hier ist ein Beispiel für einen richtig formatierten privaten RSA-Schlüssel: `-----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END RSA PRIVATE KEY-----` Ein Beispiel für einen DSA-Schlüssel: `-----BEGIN DSA PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END DSA PRIVATE KEY-----` Ein Beispiel für einen ECDSA-Schlüssel: `-----BEGIN EC PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END EC PRIVATE KEY-----` Und ein Beispiel für einen privaten ED25519-Schlüssel: `-----BEGIN OPENSSH PRIVATE KEY----- b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW QyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiwAAAKDQUtxZ0FLc WQAAAAtzc2gtZWQyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiw AAAECuvsTkFUPdpTh0kw23i8TYx19qsFOZ3TRgowkkHBh6wSViWqFx3DHxVDNnldogLmW1 CmNGveUiWr9oTrqa5+aLAAAAGmFiaGluYXYuc3V0YXJATVJFTUE3OTAzMkI3AQID -----END OPENSSH PRIVATE KEY-----` Hinweis: Für einen privaten ED25519-Schlüssel wird nur das OpenSSH-Schlüsselformat unterstützt, das mit dem Dienstprogramm OpenSSH SSH-keygen generiert wird. Die Now PlatformUnterstützt private Schlüssel im PEM-Format, die vom OpenSSH ssh-keygen-Dienstprogramm generiert werden. So konvertieren Sie PPK-Schlüssel, die von PuTTY generiert wurden: Öffnen Sie Ihren privaten Schlüssel in PuTTYGen. Exportieren Sie es im OpenSSH-Format aus dem Menü Konvertierungen > OpenSSH-Schlüssel exportierenan. Speichern Sie den neuen OpenSSH-Schlüssel.
SSH-Zertifikat	Geben Sie ein RSA- oder ED25519-basiertes OpenSSH-Zertifikat ein. Wenn das Zertifikat eingegeben wird, wird ein privater Schlüssel für die zertifikatbasierte Authentifizierung verwendet. Diese Authentifizierung wird ab OpenSSH 7,8 unterstützt.
Anmeldeinformationsalias	Ermöglichen Sie Flow-Designern, Aliasse zum Verwalten von Verbindungs- und Anmeldeinformationen zu verwenden. Durch die Verwendung eines Alias müssen bei der Verwendung mehrerer Umgebungen nicht mehrere Anmeldeinformations- und Verbindungsinformationsprofile konfiguriert werden. Wenn sich die Verbindungs- oder Anmeldeinformationen ändern, müssen Sie keine Aktionen aktualisieren, die die Verbindung verwenden. Weitere Informationen finden Sie unter Verbindungen und Anmeldeinformationen. Ermöglichen Sie Workflow-Erstellern, jeder Aktivität in einem Orchestration-Workflow individuelle Anmeldeinformationen zuzuweisen, oder weisen Sie jedem Vorkommen desselben Aktivitätstyps in einem Orchestration-Workflow unterschiedliche Anmeldeinformationen zu.
Externer Anmeldeinformationsspeicher	Aktivieren Sie dieses Kontrollkästchen, um ein externes Anmeldeinformationsspeichersystem zu verwenden. Wenn Sie diese Option auswählen, ist Anwendername Und Passwort Felder werden durch ersetzt Anmeldeinformations-ID Feld. Derzeit ist das einzige unterstützte externe Speichersystem CyberArk.
MID-Server	Wählen Sie einen oder mehrere MID-Server aus der Liste der verfügbaren MID-Server aus. Die in diesem Datensatz konfigurierten Anmeldeinformationen sind für die MID-Server in dieser Liste verfügbar. Dieses Feld ist nur verfügbar, wenn Sie auswählen Bestimmte MID-Server Von Gilt für Feld.
Beschreibung	Wählen Sie aus, ob diese Anmeldeinformationen auf angewendet werden sollen Alle MID-Server In Ihrem Netzwerk oder in einem oder mehreren Bestimmte MID-Server . Geben Sie die MID-Server an, die diese Anmeldeinformationen in verwenden sollen MID-Server Feld.
Bestellung	Die Reihenfolge (Reihenfolge), in der die Plattform diese Anmeldeinformationen versucht, während sie versucht, sich bei Geräten anzumelden. Je kleiner die Zahl, desto höher werden diese Anmeldeinformationen in der Liste angezeigt. Legen Sie die Reihenfolge der Anmeldeinformationen fest, wenn eine große Anzahl von Anmeldeinformationen verwendet wird oder wenn Anwender nach drei fehlgeschlagenen Anmeldeversuchen aus Sicherheitsgründen gesperrt werden. Wenn alle Anmeldeinformationen dieselbe Reihenfolgennummer haben (oder keine), versucht Discovery oder Orchestration die Anmeldeinformationen in zufälliger Reihenfolge.

SSH-Anmeldeinformationstyp

Diese Felder sind im SSH-Anmeldeinformationsformular verfügbar.


Feld	Beschreibung
Name	Geben Sie einen eindeutigen und beschreibenden Namen für diese Anmeldeinformationen ein.
Aktiv	Aktivieren oder deaktivieren Sie diese Anmeldeinformationen zur Verwendung.
Anwendername	Geben Sie den zu erstellenden Anwendernamen in die Tabelle „Anmeldeinformationen“ ein. Vermeiden Sie führende oder nachfolgende Leerzeichen in Anwendernamen. Eine Warnung wird angezeigt, wenn die Plattform führende oder nachfolgende Leerzeichen im Anwendernamen erkennt. Für die CIM-Discovery muss der Anwender über die Administratorrolle verfügen.
Passwort	Geben Sie das Passwort ein.
Anmeldeinformations-ID	Geben Sie den eindeutigen Schlüssel ein, der für externe Anmeldeinformationen konfiguriert ist, in der JAR-Datei, die auf den MID-Server für ein externes Anmeldeinformationssystem hochgeladen wurde. Die Anmeldeinformations-ID Das Feld darf maximal 40 Zeichen lang sein. Dieses Feld ist nur sichtbar, wenn Externer Anmeldeinformationsspeicher Kontrollkästchen ist aktiviert.
Anmeldeinformationsalias	Ermöglichen Sie Flow-Designern, Aliasse zum Verwalten von Verbindungs- und Anmeldeinformationen zu verwenden. Durch die Verwendung eines Alias müssen bei der Verwendung mehrerer Umgebungen nicht mehrere Anmeldeinformations- und Verbindungsinformationsprofile konfiguriert werden. Wenn sich die Verbindungs- oder Anmeldeinformationen ändern, müssen Sie keine Aktionen aktualisieren, die die Verbindung verwenden. Weitere Informationen finden Sie unter Verbindungen und Anmeldeinformationen. Ermöglichen Sie Workflow-Erstellern, jeder Aktivität in einem Orchestration-Workflow individuelle Anmeldeinformationen zuzuweisen, oder weisen Sie jedem Vorkommen desselben Aktivitätstyps in einem Orchestration-Workflow unterschiedliche Anmeldeinformationen zu. Um die Anmeldeinformationen für die Erkennung von CIs zu verwenden, die nicht zu diesem CI-Typ gehören, mithilfe von Servicezuordnungs- und Discovery-Mustern, geben Sie den Tabellennamen für den CI-Typ ein, zu dem das CI gehört, z. B. cmdb_ci_apache_web_server.
Externer Anmeldeinformationsspeicher	Aktivieren Sie dieses Kontrollkästchen, um ein externes Anmeldeinformationsspeichersystem zu verwenden. Wenn Sie diese Option auswählen, ist Anwendername Und Passwort Felder werden durch ersetzt Anmeldeinformations-ID Feld. Externer Anmeldeinformationsspeicher Ist nur verfügbar, wenn das Plugin „externer Anmeldeinformationsspeicher“ in aktiviert ist. Hinweis: Derzeit ist das einzige unterstützte externe Speichersystem CyberArk .
Beschreibung	Wählen Sie aus, ob diese Anmeldeinformationen auf angewendet werden sollen Alle MID-Server In Ihrem Netzwerk oder in einem oder mehreren Bestimmte MID-Server . Geben Sie an MID ServersDie diese Anmeldeinformationen in verwenden sollten MID-Server Feld.
MID-Server	Wählen Sie einen oder mehrere MID-Server aus der Liste der verfügbaren MID-Server aus. Die in diesem Datensatz konfigurierten Anmeldeinformationen sind für die MID-Server in dieser Liste verfügbar. Dieses Feld ist nur verfügbar, wenn Sie auswählen Bestimmte MID-Server Von Gilt für Feld.
Bestellung	Reihenfolge (Sequenz) in welcher DiscoveryVersucht mit diesen Anmeldeinformationen, während versucht wird, sich bei Geräten anzumelden. Je kleiner die Zahl, desto höher werden diese Anmeldeinformationen in der Liste angezeigt. Legen Sie die Reihenfolge der Anmeldeinformationen fest, wenn eine große Anzahl von Anmeldeinformationen verwendet wird oder wenn Anwender nach drei fehlgeschlagenen Anmeldeversuchen aus Sicherheitsgründen gesperrt werden. Wenn alle Anmeldeinformationen dieselbe Reihenfolgennummer haben (oder keine), versucht die Instanz die Anmeldeinformationen in zufälliger Reihenfolge.

Befehle, die Stammberechtigungen für Discovery, Orchestration und erfordern IntegrationHub

Diese Beispiele gehen davon aus, dass der Anwendername lautet Disco . Ersetzen Sie den tatsächlichen Anwendernamen, und stellen Sie sicher, dass die Pfade für die Befehle mit den Pfaden im System übereinstimmen.

Hinweis:

Sudo-Befehle funktionieren nicht mit Anmeldeinformationen für privaten Schlüssel, da kein Passwort für den sudo-Befehl angegeben werden kann. Eine Lösung besteht darin, hinzuzufügen NOPASSWD Option für die sudo-Konfiguration. Sie können beispielsweise Folgendes eingeben: Disco ALL=(root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig .

Tabelle : 1. UNIX- und Linux-Befehle, die Stammberechtigungen erfordern
Befehl	Zweck
HP-UX
adb	Sammelt CPU-Geschwindigkeit und Arbeitsspeicher. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /usr/bin/adb Verwendet von : Discovery
Alle Linux- und UNIX-Versionen
Chage	Ändert die Anzahl der Tage zwischen Passwortänderungen und dem Datum der letzten Passwortänderung. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /usr/bin/Chage Verwendet von : Orchestration und IntegrationHub
Chpasswd	Ändert Anwenderpasswörter. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /etc/chpasswd Verwendet von : Orchestration und IntegrationHub
Gesamtes Linux
Dmidecode	Sammelt mehrere Informationen über die Hardware, einschließlich der in der Hauptplatine eingebetteten Seriennummer. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /sbin/dmidecode Verwendet von : Discovery
Fdisk	Erfasst die Datenträger und Größeninformationen im System. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /usr/bin/fdisk -l Verwendet von : Discovery
Multipfad	Erfasst Gerätezuordnungen für MPIO. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /usr/bin/multipath -ll Verwendet von : Discovery
Linux und Solaris
DmSetup	Untersucht ein niedriges Volumen. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /usr/bin/dmSetup-Tabelle * Disco ALL=(root) /usr/bin/dmsetup LS Verwendet von : Discovery
Alle UNIX-Versionen
Lsvon	Bestimmt die Beziehung zwischen Prozessen und den Verbindungen, die mit dem System hergestellt werden. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /sbin/lsof Verwendet von : Discovery
Oratab	Gewährt Lesezugriff auf die Oratab-Datei zum Auffinden der Oracle-Homepage und der pfile. Zeilenbeispiel „/etc/sudoers“ : N/V Verwendet von : Discovery
Solaris
Iscsiadm	Ruft iSCSI-IQNs ab Zeilenbeispiel „/etc/sudoers“ : ${sudo:iscsiadm-Listenziel – S} Verwendet von : Discovery
Fcinfo	Ruft WWPNs für Ports ab. Zeilenbeispiel „/etc/sudoers“ : ${sudo:fcinfo Remote-Port -sl -p $Port} Verwendet von : Discovery
Prtvtoc	Meldet Informationen zu Datenträgerpartitionen. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /usr/bin/prtvtoc Verwendet von : Discovery
Pfiles	Wird zum Sammeln von Informationen zu TCP-Verbindungen verwendet. /Etc/sudoers Zeilenbeispiel: Disco ALL=(root) /usr/bin/pfiles Verwendet von : Discovery
Pgrep	Wird verwendet, um Prozess-IDs einer bestimmten Region aufzulisten, für die pfiles ausgeführt werden sollen. Zeile „/etc/sudoers“ Beispiel: Disco ALL=(root) /usr/bin/pgrep Verwendet von : Discovery
/Usr/bin/ps	Listet den laufenden Prozess auf. Fügen Sie als Alternative zur Ausführung mit Stammzugriff die Rolle proc_owner hinzu. Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /usr/bin/ps Verwendet von : Discovery
/Usr/ucb/ps	Listet den laufenden Prozess auf. Fügen Sie als Alternative zur Ausführung mit Stammzugriff die Rolle proc_owner hinzu. Die Verwendung von `/Usr/ucb/ps` Befehl ist ab Solaris 11 veraltet. Weil Discovery, Orchestration, Und IntegrationHubErfordert die Verwendung dieses Befehls für alle Solaris-Versionen. Sie müssen das ucb-Dienstprogramm manuell auf Solaris 11-Systemen installieren. Anweisungen finden Sie unter KB0564262 . Zeilenbeispiel „/etc/sudoers“ : Disco ALL=(root) /usr/ucb/ps Verwendet von : Discovery

Eine Liste der privilegierten Befehle, die Sie für Discovery und Servicezuordnung benötigen, finden Sie unter Service Mapping commands requiring a privileged userFür eine Liste der Befehle, die erhöhte Rechte zum Erkennen und Zuordnen von Unix-basierten Hosts in Ihrer Organisation erfordern.

Zugriffsanforderungen für nicht-Stamm-Anmeldeinformationen

Wenn Sie nicht angeben DiscoveryMit Stammzugriffsanmeldeinformationen müssen Sie Anmeldeinformationen mit den folgenden Zugriffsanforderungen bereitstellen.


Anwendung	Datei oder Verzeichnis	Zugriff Erforderlich
Apache	Httpd.conf	Lesen
Hbase	hbase-site.xml	Lesen
JBoss	jboss-service.xml	Lesen
	JBoss-Startverzeichnis	Lesen
	web.xml	Lesen
MySQL	Meine.cnf	Lesen
NGINX	nginx.conf	Lesen
Oracle	Oratab	Lesen
Oracle	Zugeordnete(s) pfiles	Lesen
Oracle-Listener	Lsnrctl	Ausführen
Oracle-Listener	Listener.ora	Lesen
Tomcat	catalina.jar	Lesen
	server.xml	Lesen
	web.xml	Lesen
Unix	/Etc/*Release	Lesen
	/Etc/bashrc	Lesen
	/Etc/Profile	Lesen
	/Proc/cpuinfo	Lesen
	/Proc/vmware/sched/ncpus	Lesen
	/Var/log/dmesg	Lesen
	APD-Verzeichnis	Lesen
WebSphere	cell.xml	Lesen
	server.xml	Lesen
	serverindex.xml	Lesen