Commandes privilégiées du MID Server

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 6 minutes de lecture

    • Pour détecter certaines informations sur un serveur hôte, le MID Server doit exécuter des commandes SSH avec des privilèges plus élevés. La plateforme fournit des commandes privilégiées par défaut que le MID Server doit utiliser et la possibilité d'ajouter des commandes supplémentaires au système.

    Relie à chacune des sections du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Un exemple d’informations nécessitant des privilèges élevés est celui des informations sur les disques de stockage sur un serveur hôte, récupérées à l’aide de la commande fdisk -l . Si votre système ne peut pas utiliser de commandes sudo, vous devez configurer les hôtes de votre réseau pour qu’ils utilisent l’une des autres commandes privilégiées. Vous pouvez configurer différentes commandes privilégiées pour différents hôtes. Toutefois, ne Détection prend en charge qu’une seule commande privilégiée par hôte.

    Important :
    Vous pouvez modifier les commandes privilégiées prises en charge, mais ne les supprimez pas.

    Pour obtenir la liste des commandes SSH possibles nécessitant des privilèges racines, consultez Informations d’identification SSH.

    Tableau 1. Exigences de commande d’escalade privilégiée SSH
    Commande Description
    Sudo
    • L’hôte doit prendre en charge la commande sudo -S -p <mot de passe> et renvoyer la liste correcte des commandes SSH autorisées.
    • Les informations d’identification fournies pour Discovery doivent pouvoir exécuter la commande sudo -S -p <mot de passe> <commandes>.
    pbrun
    • L’hôte doit prendre en charge la commande pbrun -v et renvoyer la version correcte de PowerBroker.
    • Les informations d’identification fournies pour Discovery doivent pouvoir exécuter pbrun <commandes>.
    • Discovery ne prend pas en charge d’autres options pbrun , telles qu’une invite de mot de passe.
    • L’instance doit pouvoir atteindre l’hôte cible via SSH.
    pfexec
    • L’hôte doit prendre en charge la commande pfexec id -a et renvoyer l’ID correct.
    • Les informations d’identification fournies pour Discovery doivent pouvoir exécuter pfexec <commandes>.
    • Discovery ne prend pas en charge d’autres options pfexec -, telles qu’une invite de mot de passe.
    dzdo
    • L’hôte doit prendre en charge la commande –v dzdo et renvoyer le chemin d’accès à dzdo dans la sortie standard.
    • Les informations d’identification fournies Détection doivent être en mesure d’exécuter dzdo <commands>.
    • Discovery ne prend pas en charge d’autres options dzdo , mais Détection prend en charge l’authentification par mot de passe pour dzdo.

    Commandes de longue durée avec sudo

    Configurez J2SSH et ServiceNow SSH pour empêcher les commandes de longue durée utilisant sudo d’échouer lorsque le MID Server se déconnecte.

    ServiceNow SSH permet aux sondes d’exécuter Sudo sur des commandes individuelles ou sur un script entier de longue durée. Cette option est également prise en charge pour les pbrun commandes privilégiées et pfexec .

    Sudo pour les commandes individuelles

    Vous pouvez exécuter Sudo par rapport à des commandes individuelles au sein d’une sonde, mais uniquement si toutes les configurations sudoer suivantes sont effectuées sur la cible :
    • L’option !requiretty est requise.
    • Autorisez l’exécution des commandes individuelles par l’utilisateur dans les informations d’identification fournies avec NOPASSWD configuré.
    • La cible spécifie un appel sudo individuel dans la commande ou les scripts référencés. Par exemple, définissez sudo sur « sudo fdisk -I » ou « ${sudo :fdisk -I} » plutôt que sur « must_sudo » pour l’ensemble du script.
    Remarque :
    L’exécution de sudo sur des commandes individuelles avec ServiceNow SSH produit des entrées détaillées et utiles dans les journaux sudo sur l’ordinateur cible.

    Exécution de sudo sur un script entier

    Si l’une des exigences de configuration sudoer requises pour les commandes individuelles n’est pas en place, Discovery applique sudo aux sondes initiale et complète, et n’exécute pas sudo à distance à l’intérieur de la commande. Cette condition peut être forcée en définissant must_sudo sur la sonde et en éliminant toutes les commandes sudo dans la sonde.

    Cette approche empêche les commandes de longue durée d’échouer lorsque la sonde se déconnecte, mais ne peut pas spécifier de commandes individuelles dans la configuration sudoers.

    Connexion

    Les journaux de l’activité ServiceNow sudo SSH exécutés sur un script entier affichent des entrées cryptiques, telles que /tmp/.run.aef13123fe124123, qui empêchent les administrateurs de contrôler les commandes autorisées et de connaître la commande exacte qui a été exécutée. L’exécution de Sudo sur des commandes individuelles produit des entrées de journal plus détaillées, telles que /sbin/fdisk –l.

    Ajouter une nouvelle commande privilégiée à utiliser par le MID Server

    Ajoutez une nouvelle commande privilégiée à la table Commande privilégiée [privileged_command] disponible pour vos MID Servers.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Important :
    Ne supprimez aucune des commandes prises en charge.

    Procédure

    1. Accédez à la Tous > Serveur MID > Commande privilégiée et cliquez sur Nouveau.
    2. Renseignez les champs suivants :
      • Commande : nom de la commande privilégiée.
      • Invite de mot de passe : invite de mot de passe affichée à l’utilisateur pour cette commande privilégiée, ou une expression régulière qui correspond à cette invite de mot de passe. Si ce champ est vide, aucun mot de passe n’est requis pour cette commande privilégiée et aucune invite ne s’affiche. Les commandes SUDO ne nécessitent pas d’invite de mot de passe.
    3. Cliquez sur Envoyer.

    Configurer le MID Server pour utiliser des commandes privilégiées spécifiques

    Vous pouvez configurer le MID Server pour utiliser des commandes spécifiques dans un ordre défini.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la liste des MID Servers en utilisant l’un des chemins suivants :
      • Serveur MID > Serveurs
      • Détection > Serveurs MID
      • Orchestration > Serveurs MID
    2. Sélectionnez le MID Server que vous souhaitez configurer.
    3. Cliquez sur l’icône de menu dans la barre d’en-tête et sélectionnez Vue > Avancés dans le menu contextuel.
      Figure 1. Sélection de la vue avancée
      Sélection de la vue avancée
    4. Dans la liste connexe Commande privilégiée , cliquez sur Modifier.
    5. Sélectionnez la commande que vous souhaitez que ce MID Server utilise, puis cliquez sur Enregistrer.
      L’ordre par défaut des commandes privilégiées est 100, mais vous pouvez modifier l’ordre au besoin. La commande privilégiée dont le numéro d’ordre est le plus petit est essayée en premier.
      Figure 2. Liste des commandes privilégiées à utiliser pour un MID Server
      Liste des commandes privilégiées à utiliser pour un MID Server

    Créer une commande privilégiée du profil pbrun

    Vous pouvez créer une configuration spéciale pour la pbrun commande privilégiée afin de lui permettre de s’exécuter en tant que profil.

    Avant de commencer

    Rôle requis : discovery_admin, admin

    Pourquoi et quand exécuter cette tâche

    Parmi toutes les commandes privilégiées, seule la pbrun commande peut être configurée pour s’exécuter en tant que profil, et une seule de ces configurations spéciales pbrun peut fonctionner sur un MID Server.
    Important :
    Modifiez l’enregistrement existant pbrun à cette fin. Le système ignore toutes les commandes supplémentaires que vous créez pour pbrun.

    Procédure

    1. Accédez à la Tous > Serveur MID > Commande privilégiée.
    2. Sélectionnez pbrun dans la liste.
    3. Dans l’enregistrement Commande privilégiée, modifiez la valeur du champ Commande pour utiliser le format pbrun -u <profile>.
      Par exemple, vous pouvez définir pbrun -u admin comme une commande à exécuter avec un profil d’administrateur.
    4. Cliquez sur Mettre à jour.

    Que faire ensuite

    Retourner à Configuration des serveurs MID.