Privilegierte Befehle für MID Server

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Um bestimmte Informationen auf einem Host-Server zu ermitteln, muss der MID-Server SSH-Befehle mit höheren Berechtigungen ausführen. Die Plattform bietet standardisierte privilegierte Befehle, die der MID-Server verwenden kann, und die Möglichkeit, zusätzliche Befehle im System hinzuzufügen.

    Verknüpfung mit jedem der MID Server-AbschnitteSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Ein Beispiel für Informationen, für die erhöhte Berechtigungen erforderlich sind, sind Informationen zu Speicherfestplatten auf einem Host-Server, die mit dem Befehl fdisk -l abgerufen werden. Wenn Ihr System Sudo-Befehle nicht verwenden kann, müssen Sie die Hosts in Ihrem Netzwerk so konfigurieren, dass sie einen der anderen privilegierten Befehle verwenden. Sie können verschiedene privilegierte Befehle für verschiedene Hosts konfigurieren. Discovery unterstützt jedoch nur einen privilegierten Befehl pro Host.

    Wichtig:
    Sie können unterstützte privilegierte Befehle bearbeiten, jedoch nicht löschen.

    Eine Liste der möglichen SSH-Befehle, die Stammberechtigungen erfordern, finden Sie unter SSH-Anmeldeinformationen.

    Tabelle : 1. Anforderungen an privilegierte SSH-Eskalationsbefehle
    Befehl Beschreibung
    Sudo
    • Der Gastgeber muss den Befehl sudo -S -p <Passwort> unterstützen und die korrekte Liste der zulässigen SSH-Befehle zurückgeben.
    • Für Discovery bereitgestellte Anmeldeinformationen müssen den Befehl sudo -S -p <Passwort> <Befehle> ausführen können.
    pbrun
    • Der Gastgeber muss den Befehl pbrun -v unterstützen und die korrekte Version von PowerBroker zurückgeben.
    • Für Discovery bereitgestellte Anmeldeinformationen müssen pbrun <Befehle> ausführen können.
    • Discovery unterstützt keine anderen Optionen für pbrun -, z. B. eine Passwortaufforderung.
    • Die Instanz muss den Ziel-Host über SSH erreichen können.
    pfexec
    • Der Gastgeber muss den Befehl pfexec id -a unterstützen und die richtige ID zurückgeben.
    • Für Discovery bereitgestellte Anmeldeinformationen müssen pfexec <Befehle> ausführen können.
    • Discovery unterstützt keine anderen Optionen für pfexec -, z. B. eine Passwortaufforderung.
    dzdo
    • Der Gastgeber muss den Befehl command –v dzdo unterstützen und den Pfad an dzdo in der Standardausgabe zurückgeben.
    • Anmeldeinformationen, die für Discovery zur Verfügung gestellt werden, müssen in der Lage sein, „dzdo <Befehle>“ auszuführen.
    • Discovery unterstützt keine anderen Optionen für dzdo -, aber Discovery unterstützt die Passwortauthentifizierung für dzdo.

    Langfristige Befehle mit Sudo

    Konfigurieren Sie J2SSH und ServiceNow SSH, um zu verhindern, dass lange laufende Befehle mit sudo fehlschlagen, wenn der MID-Server die Verbindung trennt.

    ServiceNow SSH ermöglicht es Probes, sudo für einzelne Befehle oder ein ganzes Skript mit langer Ausführungszeit auszuführen. Dies wird auch für die privilegierten Befehle pbrun und pfexec unterstützt.

    Sudo für individuelle Befehle

    Sie können Sudo für einzelne Befehle innerhalb eines Probes ausführen, jedoch nur, wenn alle folgenden Sudoer-Konfigurationen auf dem Ziel ausgeführt werden:
    • Die Option !requiretty ist erforderlich.
    • Erlauben Sie dem Benutzer, dass einzelne Befehle in den angegebenen Anmeldeinformationen mit der Konfiguration NOPASSWD konfiguriert werden.
    • Das Ziel gibt einen einzelnen Sudo-Aufruf im Befehl oder die referenzierten Skripts an. Setzen Sie beispielsweise eher Sudo „sudo fdisk -I“ oder „${sudo:fdisk -I}“ als „must_sudo“ für das gesamte Skript ein.
    Hinweis:
    Das Ausführen von Sudo gegen einzelne Befehle mit ServiceNow SSH erstellt detaillierte und nützliche Einträge in den Sudo-Protokollen auf dem Zielcomputer.

    Sudo für ein gesamtes Skript ausführen

    Wenn eine der erforderlichen Sudoer-Konfigurationsanforderungen für einzelne Befehle nicht erfüllt ist, wendet Discovery Sudo auf die anfänglichen und vollständigen Probes an und führt Sudoer nicht remote innerhalb des Befehls aus. Diese Bedingung kann durch die Einstellung von must_sudo im Probe erzwungen werden. Dadurch werden alle Sudo-Befehle im Probe eliminiert.

    Dieser Ansatz verhindert, dass Befehle mit langer Laufzeit fehlschlagen, wenn der Probe die Verbindung trennt, sie können jedoch keine einzelnen Befehle in der Sudoers-Konfiguration angeben.

    Protokollierung

    Die Protokolle aus ServiceNow SSH-Sudo-Aktivität, die für ein gesamtes Skript ausgeführt werden, zeigen kryptische Einträge wie z. B. /tmp/.run.aef13123fe124123, die verhindern, dass Administratoren zulässige Befehle steuern und den genauen Befehl kennen, der ausgeführt wurde. Wenn sudo gegen einzelne Befehle ausgeführt wird, werden detailliertere Protokolleinträge erstellt, z. B. /sbin/fdisk –l.

    Einen neuen privilegierten Befehl zur Verwendung durch den MID Server hinzufügen

    Fügen Sie der Tabelle „Privilegierter Befehl“ [privileged_command] einen neuen privilegierten Befehl hinzu, der für Ihre MID-Server verfügbar ist.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Wichtig:
    Löschen Sie keinen der unterstützten Befehle.

    Prozedur

    1. Navigieren zu Alle > MID-Server > Privilegierter Befehl und klicken Sie auf Neu.
    2. Füllen Sie diese Felder aus:
      • Befehl: Der Name des privilegierten Befehls.
      • Passwortabfrage: Die Passwortaufforderung, die dem Benutzer für diesen privilegierten Befehl angezeigt wird, oder ein regulärer Ausdruck, der dieser Passwortaufforderung entspricht. Wenn dieses Feld leer ist, ist für diesen privilegierten Befehl kein Passwort erforderlich, und es wird keine Eingabeaufforderung angezeigt. SUDO-Befehle erfordern keine Passwortaufforderung.
    3. Klicken Sie auf Absenden.

    MID Server für die Verwendung bestimmter privilegierter Befehle konfigurieren

    Sie können den MID-Server so konfigurieren, dass er bestimmte Befehle in einer definierten Reihenfolge verwendet.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren Sie mit einem der folgenden Pfade zur Liste der MID Server:
      • MID-Server > Server
      • Discovery > MID-Server
      • Orchestration > MID-Server
    2. Wählen Sie den MID Server aus, den Sie konfigurieren möchten.
    3. Klicken Sie in der Kopfzeile auf das Menüsymbol, und wählen Sie Ansicht > Erweitert aus dem Kontextmenü.
      Abbildung : 1. Auswählen von „Erweiterte Ansicht“
      Auswählen von „Erweiterte Ansicht“
    4. Klicken Sie in der zugehörigen Liste Privilegierter Befehl auf Bearbeiten.
    5. Wählen Sie den Befehl aus, den dieser MID-Server verwenden soll, und klicken Sie auf Speichern.
      Die Standardreihenfolge der privilegierten Befehle ist 100. Sie können die Reihenfolge jedoch nach Bedarf ändern. Der privilegierte Befehl mit der kleinsten Nummer wird zuerst versucht.
      Abbildung : 2. Liste der privilegierten Befehle, die für einen MID-Server verwendet werden sollen
      Liste der privilegierten Befehle, die für einen MID-Server verwendet werden sollen

    Einen privilegierten Befehl für das pbrun-Profil erstellen

    Sie können eine spezielle Konfiguration für den privilegierten Befehl pbrun erstellen, der die Ausführung als Profil ermöglicht.

    Vorbereitungen

    Erforderliche Rolle: discovery_admin, admin

    Warum und wann dieser Vorgang ausgeführt wird

    Von allen privilegierten Befehlen kann nur der Befehl pbrun so konfiguriert werden, dass er als Profil ausgeführt wird, und nur eine dieser speziellen pbrun-Konfigurationen kann auf einem MID Server funktionieren.
    Wichtig:
    Bearbeiten Sie den vorhandenen pbrun-Datensatz zu diesem Zweck. Das System ignoriert zusätzliche Befehle, die Sie für pbrun erstellen.

    Prozedur

    1. Navigieren zu Alle > MID-Server > Privilegierter Befehl.
    2. Wählen Sie pbrun aus der Liste.
    3. Bearbeiten Sie im Datensatz „Privilegierter Befehl“ den Wert im Feld Befehl, um das Format pbrun -u <profile>zu verwenden.
      Zum Beispiel können Sie pbrun -u admin als Befehl zum Ausführen mit einem Administratorprofil festlegen.
    4. Klicken Sie auf Aktualisieren.

    Nächste Maßnahme

    Kehren Sie zu MID Server konfigurierenzurück.