Commandes privilégiées du serveur MID

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 6 minutes de lecture

    • Pour découvrir certaines informations sur un serveur hôte, le serveur MID doit exécuter des commandes SSH avec des privilèges plus élevés. La plateforme fournit des commandes privilégiées par défaut que le serveur MID peut utiliser et la possibilité d’ajouter des commandes supplémentaires au système.

    Relie à chacune des sections du serveur MIDAssurez-vous que le serveur MID peut se connecter à des éléments à l’intérieur et à l’extérieur de votre réseauTélécharger et installer le serveur MID sur un hôte Linux ou WindowsConfigurez votre serveur MIDConfigurer la sécurité du serveur MIDAssurez-vous que le serveur MID peut se connecter à des éléments à l’intérieur et à l’extérieur de votre réseauTélécharger et installer le serveur MID sur un hôte Linux ou WindowsConfigurez votre serveur MIDConfigurer la sécurité du serveur MID

    Les informations sur les disques de stockage sur un serveur hôte, récupérées à l’aide de la commande fdisk -l constituent un exemple d’informations nécessitant des privilèges élevés. Si votre système ne peut pas utiliser les commandes sudo, vous devez configurer les hôtes de votre réseau pour utiliser l’une des autres commandes privilégiées. Vous pouvez configurer différentes commandes privilégiées pour différents hôtes. Cependant, Découverte ne prend en charge qu’une seule commande privilégiée par hôte.

    Important :
    Vous pouvez modifier les commandes privilégiées prises en charge, mais ne les supprimez pas.

    Pour obtenir la liste des commandes SSH possibles nécessitant des privilèges de super-utilisateur, consultez Informations d’identification SSH.

    Tableau 1. Exigences relatives à la commande d’escalade privilégiée SSH
    Commande Description
    Sudo
    • L’hôte doit prendre en charge la commande sudo -S -p <mot de passe> et renvoyer la liste correcte des commandes SSH autorisées.
    • Les informations d’identification fournies pour Discovery doivent permettre d’exécuter la commande sudo -S -p <password> <commands>.
    • Discovery appelle sudo -l pour déterminer si sudo est disponible sur l’hôte et quelles commandes l’utilisateur actuel peut exécuter avec des privilèges élevés.
    pbrun
    • L’hôte doit prendre en charge la commande pbrun -v et renvoyer la version correcte de PowerBroker.
    • Les informations d’identification fournies pour Discovery (Découverte) doivent permettre d’exécuter des <commandes> pbrun.
    • Discovery ne prend pas en charge d’autres options pbrun , telles qu’une invite de mot de passe.
    • L’instance doit pouvoir atteindre l’hôte cible via SSH.
    Pfexec
    • L’hôte doit prendre en charge la commande pfexec id -a et renvoyer l’ID correct.
    • Les informations d’identification fournies pour Discovery doivent pouvoir exécuter pfexec <commands>.
    • Discovery ne prend pas en charge d’autres options pfexec , telles qu’une invite de mot de passe.
    dzdo
    • L’hôte doit prendre en charge la commande –v dzdo et renvoyer le chemin d’accès à dzdo dans la sortie standard.
    • Les informations d’identification fournies Découverte doivent pouvoir exécuter dzdo <commandes>.
    • Discovery ne prend pas en charge d’autres options dzdo , mais Découverte prend en charge l’authentification par mot de passe pour dzdo.

    Commandes de longue durée avec sudo

    Configurez J2SSH et ServiceNow SSH pour empêcher l’échec des commandes de longue durée à l’aide de Sudo lorsque le serveur MID se déconnecte.

    ServiceNow SSH permet aux sondes d’exécuter sudo sur des commandes individuelles ou sur un script entier de longue durée. Ceci est également pris en charge pour les pbrun commandes privilégiées et pfexec .

    Sudo pour les commandes individuelles

    Vous pouvez exécuter sudo sur des commandes individuelles au sein d’une sonde, mais uniquement si toutes les configurations sudoer suivantes sont exécutées sur la cible :
    • L’option !requiretty est requise.
    • Autorisez l’exécution de commandes individuelles par l’utilisateur dans les informations d’identification fournies avec NOPASSWD configuré.
    • La cible spécifie un appel Sudo individuel dans la commande ou les scripts référencés. Par exemple, définissez sudo comme « sudo fdisk -I » ou « ${sudo :fdisk -I} » plutôt que « must_sudo » pour l’ensemble du script.
    Remarque :
    L’exécution de sudo sur des commandes individuelles avec ServiceNow SSH produit des entrées détaillées et utiles dans les journaux sudo sur l’ordinateur cible.

    Exécution de sudo sur un script entier

    Si l’une des exigences de configuration sudoer requises pour les commandes individuelles n’est pas en place, Discovery applique sudo aux sondes initiales et complètes, et n’exécute pas sudo à distance dans la commande. Cette condition peut être forcée en définissant must_sudo sur la sonde et en éliminant toute commande sudo dans la sonde.

    Cette approche empêche les commandes de longue durée d’échouer lorsque la sonde se déconnecte, mais ne peut pas spécifier de commandes individuelles dans la configuration sudoers.

    Connexion

    Les journaux de l’activité Sudo SSH ServiceNow s’exécutent sur un script entier affichent des entrées cryptiques, telles que /tmp/.run.aef13123fe124123, qui empêchent les administrateurs de contrôler les commandes autorisées et de connaître la commande exacte qui a été exécutée. L’exécution Sudo sur des commandes individuelles produit des entrées de journal plus détaillées, telles que /sbin/fdisk –l.

    Ajouter une nouvelle commande privilégiée à utiliser par le serveur MID

    Ajoutez une nouvelle commande privilégiée à la table Commande privilégiée [privileged_command] disponible pour vos serveurs MID.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Important :
    Ne supprimez aucune des commandes prises en charge.

    Procédure

    1. Accédez à la Tous > Serveur MID > Commande privilégiée et cliquez sur Nouveau.
    2. Renseignez ces champs :
      • Commande : nom de la commande privilégiée.
      • Invite de mot de passe : l’invite de mot de passe affichée à l’utilisateur pour cette commande privilégiée, ou une expression régulière qui correspond à cette invite de mot de passe. Si ce champ est vide, aucun mot de passe n’est requis pour cette commande privilégiée et aucune invite ne s’affiche. Les commandes SUDO ne nécessitent pas d’invite de mot de passe.
    3. Cliquez sur Envoyer.

    Configurer le serveur MID pour utiliser des commandes privilégiées spécifiques

    Vous pouvez configurer le serveur MID pour utiliser des commandes spécifiques dans un ordre défini.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la liste des serveurs MID en utilisant l’un des chemins suivants :
      • Serveur MID > Serveurs
      • Découverte > Serveurs MID
      • Orchestration > Serveurs MID
    2. Sélectionnez le serveur MID que vous voulez configurer.
    3. Cliquez sur l’icône de menu dans la barre d’en-tête et sélectionnez Vue > Avancé dans le menu contextuel.
      Figure 1. Sélection de la vue avancée
      Sélection de la vue avancée
    4. Dans la liste connexe Commande privilégiée , cliquez sur Modifier.
    5. Sélectionnez la commande que ce serveur MID doit utiliser, puis cliquez sur Enregistrer.
      L’ordre par défaut des commandes privilégiées est 100, mais vous pouvez modifier l’ordre si nécessaire. La commande privilégiée dont le numéro d’ordre est le plus petit est essayée en premier.
      Figure 2. Liste des commandes privilégiées à utiliser pour un serveur MID
      Liste des commandes privilégiées à utiliser pour un serveur MID

    Créer un profil pbrun commande privilégiée

    Vous pouvez créer une configuration spéciale pour la pbrun commande privilégiée qui lui permet de s’exécuter en tant que profil.

    Avant de commencer

    Rôle requis : discovery_admin, admin

    Pourquoi et quand exécuter cette tâche

    De toutes les commandes privilégiées, seule la pbrun commande peut être configurée pour s’exécuter en tant que profil, et une seule de ces configurations spéciales pbrun peut fonctionner sur un serveur MID.
    Important :
    Modifiez l’enregistrement existant pbrun à cette fin. Le système ignore toutes les commandes supplémentaires que vous créez pour pbrun.

    Procédure

    1. Accédez à la Tous > Serveur MID > Commande privilégiée.
    2. Sélectionnez pbrun dans la liste.
    3. Dans l’enregistrement Commande privilégiée, modifiez la valeur du champ Commande pour utiliser le format pbrun -u <profile>.
      Par exemple, vous pouvez définir pbrun -u admin une commande à exécuter avec un profil d’administrateur.
    4. Cliquez sur Mettre à jour.

    Que faire ensuite

    Revenir à .Configuration des serveurs MID