Commandes privilégiées de Serveur MID

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 5 minutes de lecture

    • Pour détecter certaines informations sur un serveur hôte, le Serveur MID doit exécuter des commandes SSH avec des privilèges plus élevés. La plateforme fournit des commandes privilégiées par défaut que le MID Server doit utiliser et la possibilité d'ajouter des commandes supplémentaires au système.

    Relie à chacune des sections du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Un exemple d’information nécessitant des privilèges élevés est l’information sur les disques de stockage sur un serveur hôte, récupérées à l’aide de la commande fdisk -l . Si votre système ne peut pas utiliser les commandes sudo, vous devez configurer les hôtes de votre réseau pour utiliser l’une des autres commandes privilégiées. Vous pouvez configurer différentes commandes privilégiées pour différents hôtes. Toutefois, Découverte ne prend en charge qu’une seule commande privilégiée par hôte.

    Important :
    Vous pouvez modifier les commandes privilégiées prises en charge, mais ne les supprimez pas.

    Pour obtenir la liste des commandes SSH possibles nécessitant des privilèges root, consultez Informations d’identification SSH.

    Tableau 1. Exigences de commande d’escalade privilégiée SSH
    Commande Description
    sudo
    • L’hôte doit prendre en charge la commande sudo -S -p <mot de passe> et renvoyer la liste correcte des commandes SSH autorisées.
    • Les informations d’identification fournies pour Détection doivent être en mesure d’exécuter la commande sudo -S -p <password> <commands>.
    pbrun
    • L’hôte doit prendre en charge la commande pbrun -v et renvoyer la version correcte de PowerBroker.
    • Les informations d’identification fournies pour la découverte doivent être en mesure d’exécuter les <commandes> pbrun.
    • Discovery ne prend pas en charge d’autres options pbrun, telles qu’une invite de mot de passe.
    • L’instance doit pouvoir atteindre l’hôte cible via SSH.
    pfexec
    • L’hôte doit prendre en charge la commande pfexec id -a et renvoyer l’ID correct.
    • Les informations d’identification fournies pour Découverte doivent pouvoir exécuter pfexec <commandes>.
    • Discovery ne prend pas en charge d’autres options pfexec, telles qu’une invite de mot de passe.
    dzdo
    • L’hôte doit prendre en charge la commande –v dzdo et renvoyer le chemin vers dzdo dans la sortie standard.
    • Les informations d’identification fournies Découverte doivent pouvoir exécuter dzdo <commands>.
    • Discovery ne prend pas en charge d’autres options dzdo, mais Découverte prend en charge l’authentification par mot de passe pour dzdo.

    Commandes de longue durée avec sudo

    Configurez J2SSH et ServiceNow SSH pour empêcher l’échec des commandes à exécution longue utilisant sudo lorsque le serveur MID se déconnecte.

    ServiceNow SSH permet aux sondes d’exécuter Sudo sur des commandes individuelles ou sur un script entier de longue durée. Ceci est également pris en charge pour les pbrun commandes privilégiées et pfexec .

    Sudo pour les commandes individuelles

    Vous pouvez exécuter sudo sur des commandes individuelles dans une sonde, mais uniquement si toutes les configurations sudoer suivantes sont exécutées sur la cible :
    • L’option !requiretty est requise.
    • Autorisez l’exécution de commandes individuelles par l’utilisateur dans les informations d’identification fournies avec NOPASSWD configuré.
    • La cible spécifie un appel sudo individuel dans la commande ou les scripts référencés. Par exemple, définissez sudo comme « sudo fdisk -I » ou « ${sudo :fdisk -I} » plutôt que « must_sudo » pour l’ensemble du script.
    Remarque :
    L’exécution de sudo sur des commandes individuelles avec ServiceNow SSH produit des entrées détaillées et utiles dans les journaux sudo sur l’ordinateur cible.

    Exécution de Sudo sur un script entier

    Si l’une des exigences de configuration sudoer requises pour les commandes individuelles n’est pas en place, Discovery applique sudo aux sondes initiales et complètes et n’exécute pas sudo à distance à l’intérieur de la commande. Cette condition peut être forcée en définissant must_sudo sur la sonde et en éliminant toutes les commandes sudo dans la sonde.

    Cette approche empêche l’échec des commandes longues lorsque la sonde se déconnecte, mais ne peut pas spécifier de commandes individuelles dans la configuration sudoers.

    Connexion

    Les journaux de l’activité ServiceNow Sudo SSH exécutés sur un script entier affichent des entrées cryptées, telles que /tmp/.run.aef13123fe124123, qui empêchent les administrateurs de contrôler les commandes autorisées et de connaître la commande exacte qui a été exécutée. L’exécution de Sudo sur des commandes individuelles produit des entrées de journal plus détaillées, telles que /sbin/fdisk –l.

    Ajouter une nouvelle commande privilégiée à utiliser par le Serveur MID

    Ajoutez une nouvelle commande privilégiée à la table Commande privilégiée [privileged_command] disponible pour vos serveurs MID.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Important :
    Ne supprimez aucune des commandes prises en charge.

    Procédure

    1. Accédez à la Tous > Serveur MID > Commande privilégiée et cliquez sur Nouveau.
    2. Renseignez ces champs :
      • Commande : nom de la commande privilégiée.
      • Invite de mot de passe : l’invite de mot de passe affichée à l’utilisateur pour cette commande privilégiée, ou une expression régulière qui correspond à cette invite de mot de passe. Si ce champ est vide, aucun mot de passe n’est requis pour cette commande privilégiée et aucune invite ne s’affiche. Les commandes SUDO ne nécessitent pas d’invite de mot de passe.
    3. Cliquez sur Envoyer.

    Configurer le serveur MID pour utiliser des commandes privilégiées spécifiques

    Vous pouvez configurer le serveur MID pour utiliser des commandes spécifiques dans un ordre défini.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la liste des MID Servers en utilisant l’un des chemins suivants :
      • Serveur MID > Serveurs
      • Découverte > Serveurs MID
      • Orchestration > Serveurs MID
    2. Sélectionnez le Serveur MID que vous voulez configurer.
    3. Cliquez sur l’icône de menu dans la barre d’en-tête et sélectionnez Vue > Avancés dans le menu contextuel.
      Figure 1. Sélection de la vue avancée
      Sélection de la vue avancée
    4. Dans la liste connexe Commande privilégiée , cliquez sur Modifier.
    5. Sélectionnez la commande que vous souhaitez que ce Serveur MID utilise, puis cliquez sur Enregistrer.
      L’ordre par défaut des commandes privilégiées est 100, mais vous pouvez modifier l’ordre si nécessaire. La commande privilégiée dont le numéro d’ordre est le plus petit est essayée en premier.
      Figure 2. Liste des commandes privilégiées à utiliser pour un serveur MID
      Liste des commandes privilégiées à utiliser pour un serveur MID

    Créer une commande privilégiée de profil pbrun

    Vous pouvez créer une configuration spéciale pour la pbrun commande privilégiée qui lui permet de s’exécuter en tant que profil.

    Avant de commencer

    Rôle requis : discovery_admin, admin

    Pourquoi et quand exécuter cette tâche

    De toutes les commandes privilégiées, seule la commande peut être configurée pour s’exécuter pbrun en tant que profil, et une seule de ces configurations spéciales pbrun peut fonctionner sur un serveur MID.
    Important :
    Modifiez l’enregistrement existant pbrun à cette fin. Le système ignore les commandes supplémentaires que vous créez pour pbrun.

    Procédure

    1. Accédez à la Tous > Serveur MID > Commande privilégiée.
    2. Sélectionnez pbrun dans la liste.
    3. Dans l’enregistrement Commande privilégiée, modifiez la valeur du champ Commande pour utiliser le format pbrun -u <profile>.
      Par exemple, vous pouvez définir pbrun -u admin une commande à exécuter avec un profil administrateur.
    4. Cliquez sur Mettre à jour.

    Que faire ensuite

    Revenir à .Configuration des serveurs MID