Informations d'identification SSH

Sécurité de la plate-forme Washington DC

Release

washingtondc

ft:locale

fr-FR

ft:publication_title

Sécurité de la plate-forme Washington DC

ft:clusterId

psec

bundleId

psec

workflow

Platform

Informations d'identification SSH

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

10 minutes de lecture

Détection, Orchestration et Hub d'intégration explorer et Linux utiliser UNIX les informations d’identification SSH pour exécuter des commandes sur Secure Shell (SSH). Les commandes SSH doivent s'exécuter avec les privilèges racines, soit avec les informations d'identification racine, soit via Sudo. Les informations d'identification de clé privée SSH fournissent une sécurité supplémentaire.

Octroi des privilèges racines

Avant d'octroyer des privilèges racines, examinez votre politique et vos options de sécurité avec l'équipe de sécurité de votre organisation.

Utilisez l'une ou l'autre de ces approches pour permettre aux utilisateurs d'exécuter des commandes SSH avec des privilèges racines :

Donnez d'autres informations d'identification pour Détection, Orchestration ou Hub d'intégration, mais octroyez à l'utilisateur ayant ces informations d'identification le droit d'exécuter certaines commandes avec des privilèges racine, à l'aide de Sudo. Il s'agit d'un moyen sécurisé d'octroyer des privilèges limités. Détection, Orchestration ou Hub d'intégration utilisent Sudo sur n'importe quelle sonde dont le paramètre must_sudo est défini sur true (sa valeur par défaut est false). Toutefois, chaque système doit être configuré pour permettre à Sudo de fonctionner. Pour ce faire, modifiez le fichier /etc/sudoers à l'aide de la commande visudo.
Donnez les informations d'identification racine. Il s'agit bien entendu des informations d'identification les plus puissantes, mais elles ne sont pas toujours souhaitables pour des raisons de sécurité. Si Détection, Orchestration ou Hub d'intégration ont les informations d'identification racine pour n'importe quel système UNIX ou Linux, aucune autre configuration n'est nécessaire.

Commandes privilégiées

La plateforme fournit des commandes privilégiées par défaut que le MID Server doit utiliser et la possibilité d'ajouter des commandes supplémentaires au système. Pour plus d’informations sur l’utilisation de sudo et d’autres commandes privilégiées, consultez Commandes privilégiées du MID Server.

Type d'informations d'identification de clé privée SSH

Remarque :

Les informations d'identification de clé privée SSH doivent être utilisées dans la plupart des cas, car elles offrent une meilleure sécurité que les informations d'identification de mot de passe SSH.


Champ	Valeur d'entrée
Nom	Nom unique et descriptif pour ces informations d'identification. Par exemple, vous pouvez les appeler SSH Atlanta.
Actif	Activez ou désactivez ces informations d'identification pour les utiliser.
Nom d'utilisateur	Entrez un nom d'utilisateur UNIX ou Linux. Évitez les espaces blancs dans les noms d'utilisateur. Un avertissement apparaît si la plateforme détecte des espaces blancs dans le nom d'utilisateur.
Mot de passe	Entrez le mot de passe UNIX ou Linux. Pour les informations d'identification de type Clé privée SSH , entrez le mot de passe Sudo si le nom d'utilisateur en nécessite un.
Phrase de sécurité SSH	Saisissez une phrase de sécurité SSH. Ce champ est disponible uniquement pour les informations d'identification de Clé privée SSH .
Clé privée SSH	Entrez une clé privée sécurisée, RSA, DSA ou ECDSA qui peut être utilisée à la place d’un mot de passe pour les connexions SSH. La clé privée doit être saisie au bon format pour être correctement chiffrée. La clé privée doit commencer par la chaîne `-----BEGIN`. Voici un exemple de clé privée RSA correctement formatée : `-----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END RSA PRIVATE KEY-----` Exemple d’une clé DSA : `-----BEGIN DSA PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END DSA PRIVATE KEY-----` Et un exemple de clé ECDSA : `-----BEGIN EC PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END EC PRIVATE KEY-----` Le Now Platform prend en charge les clés privées au format PEM généré par l'utilitaire OpenSSH ssh-keygen. Pour convertir les clés PPK qui ont été générées par PuTTY : Ouvrez votre clé privée dans PuTTYGen. Exportez-le au format OpenSSH à partir du menu Conversions > Exporter la clé OpenSSH. Enregistrez la nouvelle clé OpenSSH.
Certificat SSH	Entrez un certificat OpenSSH basé sur RSA pour une connexion SSH à l’aide de certificats. Lors de la saisie du certificat, une clé privée est utilisée pour l’authentification basée sur certificat. Cette authentification est prise en charge à partir d’OpenSSH 7.8.
Alias d'identification	Autorisez les concepteurs de flux à utiliser des alias pour gérer les connexions et les informations d'identification. L'utilisation d'un alias élimine la nécessité de configurer plusieurs informations d'identification et profils d'informations de connexion lors de l'utilisation d'environnements multiples. Si les informations de connexion ou d'identification changent, vous n'avez pas besoin de mettre à jour les actions qui utilisent la connexion. Pour plus d'informations, consultez Connexions et informations d'identification. Autorisez les créateurs de workflows à affecter des informations d'identification individuelles à n'importe quelle activité d'un workflow Orchestration ou affectez des informations d'identification différentes à chaque occurrence du même type d'activité dans un workflow Orchestration.
Banque d'identifiants externes	Cochez cette case pour utiliser un système de stockage des informations d'identification externe. Lorsque vous sélectionnez cette option, les champs Nom d'utilisateur et Mot de passe sont remplacés par le champ ID d'informations d'identification. Actuellement, le seul système de stockage externe pris en charge est CyberArk.
MID Servers	Sélectionnez un ou plusieurs MID Servers dans la liste des MID Servers disponibles. Les informations d'identification configurées dans cet enregistrement sont disponibles pour les MID Servers de cette liste. Ce champ est disponible uniquement lorsque vous sélectionnez MID servers spécifiques depuis le champ S'applique à.
S'applique à	Choisissez si appliquer ces informations d'identification à Tous les serveurs MID de votre réseau, ou à un ou plusieurs MID servers spécifiques. Spécifiez les MID Servers qui doivent utiliser ces informations d'identifications dans le champ MID servers.
Ordre	Ordre (séquence) dans lequel la plateforme essaie ces informations d'identification lorsqu'elle tente de se connecter aux appareils. Plus le nombre est petit, plus les informations d'identification apparaissent en haut dans la liste. Établissez un ordre pour les informations d'identification lorsque vous utilisez des informations d'identification avec des numéros élevés ou lorsque la sécurité verrouille les utilisateurs après trois tentatives de connexion échouées. Si toutes les informations d'identification ont le même numéro d'ordre (ou n'en ont pas), Discovery ou Orchestration essaie les informations d'identification aléatoirement.

Type d'informations d'identification SSH

Ces champs sont disponibles dans le formulaire Informations d'identification SSH.


Champ	Description
Nom	Entrez un nom unique et descriptif pour ces informations d'identification.
Actif	Activez ou désactivez ces informations d'identification pour les utiliser.
Nom d'utilisateur	Entrez le nom d'utilisateur ou créez-le dans la table Informations d'identification. Évitez les espaces blancs dans les noms d'utilisateur. Un avertissement apparaît si la plateforme détecte des espaces blancs dans le nom d'utilisateur. Pour CIM Discovery, l'utilisateur doit avoir le rôle administrateur.
Mot de passe	Entrez le mot de passe.
ID d'informations d'identification	Entrez la clé unique configurée pour les informations d'identification externes dans le fichier JAR téléchargé sur le MID Server pour un système d'informations d'identification externe. Le champ ID d'informations d'identification a une limite de 40 caractères. Ce champ n'est visible que lorsque la case Banque d'identifiants externes est cochée.
Alias d'identification	Autorisez les concepteurs de flux à utiliser des alias pour gérer les connexions et les informations d'identification. L'utilisation d'un alias élimine la nécessité de configurer plusieurs informations d'identification et profils d'informations de connexion lors de l'utilisation d'environnements multiples. Si les informations de connexion ou d'identification changent, vous n'avez pas besoin de mettre à jour les actions qui utilisent la connexion. Pour plus d'informations, consultez Connexions et informations d'identification. Autorisez les créateurs de workflows à affecter des informations d'identification individuelles à n'importe quelle activité d'un workflow Orchestration ou affectez des informations d'identification différentes à chaque occurrence du même type d'activité dans un workflow Orchestration. Pour utiliser les informations d'identification afin de détecter les CI qui n'appartiennent pas à ce type de CI à l'aide des modèles de mappage de service et de détection, entrez le nom de table du type de CI auquel le CI appartient, par exemple cmdb_ci_apache_web_server. Pour plus d’informations, consultez Changer les informations d’identification sur une valeur autre que celle par défaut.
Banque d'identifiants externes	Cochez cette case pour utiliser un système de stockage des informations d'identification externe. Lorsque vous sélectionnez cette option, les champs Nom d'utilisateur et Mot de passe sont remplacés par le champ ID d'informations d'identification. Le stockage des informations d’identification externe n’est disponible que lorsque le module d’extension Stockage des informations d’identification externe est activé. Remarque : Actuellement, le seul système de stockage externe pris en charge est CyberArk.
Concerne	Choisissez si appliquer ces informations d'identification à Tous les serveurs MID de votre réseau, ou à un ou plusieurs MID servers spécifiques. Spécifiez le Serveurs MID qui doit utiliser ces informations d’identification dans le champ MID Servers .
MID Servers	Sélectionnez un ou plusieurs MID Servers dans la liste des MID Servers disponibles. Les informations d'identification configurées dans cet enregistrement sont disponibles pour les MID Servers de cette liste. Ce champ est disponible uniquement lorsque vous sélectionnez MID servers spécifiques depuis le champ S'applique à.
Ordre	Ordre (séquence) utilisé Détection pour essayer ces informations d’identification lorsqu’il tente de se connecter aux appareils. Plus le nombre est petit, plus les informations d'identification apparaissent en haut dans la liste. Établissez un ordre pour les informations d'identification lorsque vous utilisez des informations d'identification avec des nombres élevés ou lorsque la sécurité verrouille les utilisateurs après trois tentatives de connexion échouées. Si toutes les informations d'identification ont le même numéro d'ordre (ou n'en ont pas), l'instance essaie les informations d'identification aléatoirement.

Commandes qui nécessitent des privilèges racine pour Discovery, Orchestration et Hub d'intégration

Dans ces exemples, le nom d'utilisateur est Disco. Remplacez le nom d'utilisateur et assurez-vous que les chemins d'accès des commandes correspondent aux chemins d'accès du système.

Remarque :

Les commandes Sudo ne fonctionnent pas avec les informations d'identification de clé privée, car il n'y a pas de mot de passe à fournir à la commande Sudo. Une solution consiste à ajouter l'option NOPASSWD à la configuration Sudo. Par exemple, vous pouvez entrer : disco ALL=(root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig.

Tableau 1. Commandes UNIX et Linux nécessitant des privilèges racine
Commande	Objectif
HP-UX
adb	Collecte la vitesse et la mémoire du processeur. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/adb Utilisée par : Discovery
Toutes les versions Linux et UNIX
chage	Modifie le nombre de jours entre les changements de mot de passe et la date du dernier changement de mot de passe. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/chage Utilisée par : Orchestration et Hub d'intégration
chpasswd	Modifie les mots de passe utilisateur. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/chpasswd Utilisée par : Orchestration et Hub d'intégration
Toutes les versions Linux
dmidecode	Collecte différentes informations sur le matériel, y compris le numéro de série incorporé dans la carte mère. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/dmidecode Utilisée par : Discovery
fdisk	Collecte les informations sur les disques et la taille sur le système. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/fdisk -l Utilisée par : Discovery
multipath	Collecte les mappages d'appareils pour le MPIO. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/multipath -ll Utilisée par : Discovery
Linux et Solaris
dmsetup	Examine un volume de faible niveau. Exemple de ligne de /etc/sudoers : Disco ALL=(root) /usr/bin/dmsetup table * Disco ALL=(root) /usr/bin/dmsetup Is Utilisée par : Discovery
Toutes les versions UNIX
lsof	Détermine la relation entre les processus et les connexions en cours au système. Exemple de ligne /etc/sudoers : Disco ALL=(root) /sbin/lsof Utilisée par : Discovery
oratab	Accorde un accès en lecture au fichier oratab pour localiser la page d'accueil et le profil Oracle. Exemple de ligne /etc/sudoers : N. A. Utilisée par : Discovery
Solaris
iscsiadm	Obtient des IQN iSCSI Exemple de ligne /etc/sudoers : ${sudo:iscsiadm list target -S} Utilisée par : Discovery
fcinfo	Obtient des WWPN pour les ports. Exemple de ligne /etc/sudoers : ${sudo:fcinfo remote-port -sl -p $port} Utilisée par : Discovery
prtvtoc	Communique des informations sur les partitions de disque. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/prtvtoc Utilisée par : Discovery
pfiles	Utilisé pour collecter des informations sur les connexions TCP. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/pfiles Utilisée par : Discovery
PGREP (en anglais seulement)	Utilisé pour répertorier les ID de processus d’une région particulière sur laquelle exécuter pfiles. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/pgrep Utilisée par : Discovery
/usr/bin/ps	Répertorie le processus d'exécution. Vous pouvez ajouter le rôle proc_owner au lieu de l'exécuter avec l'accès racine. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/ps Utilisée par : Discovery
/usr/ucb/ps	Répertorie le processus d'exécution. Vous pouvez ajouter le rôle proc_owner au lieu de l'exécuter avec l'accès racine. L'utilisation de la commande `/usr/ucb/ps` est déconseillée à partir de Solaris 11. Étant donné que Détection, Orchestration et Hub d'intégration nécessitent l'utilisation de cette commande pour toutes les versions Solaris, vous devez installer l'utilitaire ucb manuellement sur les systèmes Solaris 11. Pour obtenir des instructions, consultez KB0564262. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/ucb/ps Utilisée par : Discovery

Pour obtenir une liste des commandes privilégiées dont vous avez besoin pour Discovery et Service Mapping, consultez Service Mapping commands requiring a privileged user afin de voir la liste des commandes qui nécessitent des droits élevés pour détecter et mapper les hôtes basés sur Unix dans votre organisation.

Besoins relatifs à l'accès pour les informations d'identification non racine

Si vous ne fournissez pas d'informations d'identification Détection avec accès racine, vous devez fournir les informations d'identification avec les besoins relatifs à l'accès suivantes.


Application	Fichier ou répertoire	Accès requis
Apache	httpd.conf	Lecture
HBase	hbase-site.xml	Lecture
JBoss	jboss-service.xml	Lecture
	Répertoire de base JBoss	Lecture
	web.xml	Lecture
MySQL	my.cnf	Lecture
NGINX	nginx.conf	Lecture
Oracle	oratab	Lecture
Oracle	Fichiers pfiles (s) associés	Lecture
Oracle Listener	lsnrctl	Exécuter
Oracle Listener	listener.ora	Lecture
Tomcat	catalina.jar	Lecture
	server.xml	Lecture
	web.xml	Lecture
Unix	/etc/*release	Lecture
	/etc/bashrc	Lecture
	/etc/profile	Lecture
	/proc/cpuinfo	Lecture
	/proc/vmware/sched/ncpus	Lecture
	/var/log/dmesg	Lecture
	Répertoire APD	Lecture
WebSphere	cell.xml	Lecture
	server.xml	Lecture
	serverindex.xml	Lecture