Credenciais SSH

Segurança da plataforma de Washington DC

Release

washingtondc

ft:locale

pt-BR

ft:publication_title

Segurança da plataforma de Washington DC

ft:clusterId

psec

bundleId

psec

workflow

Platform

Credenciais SSH

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

10 min. de leitura

Descoberta, Orquestação e IntegrationHub exploram dispositivos UNIX e Linux usando as credenciais SSH para executar comandos sobre o SSH (Secure Shell). Os comandos SSH devem ser executados com privilégios de root, com credenciais de root ou por meio do uso de sudo. As credenciais de chave privada SSH fornecem segurança adicional.

Conceder privilégios de root

Antes de conceder privilégios de root, revise sua política de segurança e opções com a equipe de segurança da sua organização.

Use uma dessas abordagens para permitir que os usuários executem comandos SSH com privilégios de root:

Forneça outras credenciais para Descoberta, Orquestação ou IntegrationHub, mas conceda ao usuário nessas credenciais o direito de executar determinados comandos com privilégios de root, usando sudo. Esta é uma maneira segura de conceder privilégios limitados. Descoberta, Orquestação ou IntegrationHub usam sudo em qualquer probe que tenha o parâmetro must_sudodefinido como verdadeiro (o padrão é falso). No entanto, cada sistema deve ser configurado para permitir que o sudo funcione. Isso é feito editando o arquivo /etc/sudoers usando o comando visudo.
Forneça credenciais de root. Essas são, obviamente, as credenciais mais poderosas, mas podem não ser desejáveis do ponto de vista da segurança. Se Descoberta, Orquestação ou IntegrationHub tiver as credenciais de root para qualquer sistema UNIX ou Linux, nenhuma configuração adicional será necessária.

Comandos privilegiados

A plataforma fornece comandos privilegiados padrão para o MID Server usar e a capacidade de adicionar comandos adicionais ao sistema. Para obter detalhes sobre como usar sudo e outros comandos privilegiados, consulte Comandos privilegiados do MID Server.

Tipo de credencial de chave privada SSH

Nota:

As credenciais de chave privada SSH devem ser usadas na maioria dos casos, pois fornecem melhor segurança do que as credenciais de senha SSH.


Campo	Valor de entrada
Nome	Nome exclusivo e descritivo desta credencial. Por exemplo, você pode chamá-la de SSH Atlanta.
Ativo	Habilite ou desabilite essas credenciais para uso.
Nome de usuário	Insira um nome de usuário UNIX ou Linux. Evite espaços iniciais ou finais em nomes de usuário. Um aviso vai ser exibido se a plataforma detectar espaços iniciais ou finais no nome de usuário.
Senha	Insira a senha UNIX ou Linux. Para credenciais de tipo Chave Privada SSH, insira a senha sudo se for necessária para o nome de usuário.
Senha SSH	Digite uma senha longa de SSH. Este campo está disponível somente para credenciais de Chave Privada SSH.
Chave privada de SSH	Insira uma chave privada RSA, DSA ou ECDSA segura que possa ser usada em vez de uma senha para logins SSH. A chave privada deve ser inserida no formato apropriado para garantir que esteja criptografada corretamente. A chave privada deve iniciar com a cadeia de caracteres `-----BEGIN`. Aqui está um exemplo de uma chave privada RSA formatada corretamente: `-----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END RSA PRIVATE KEY-----` Um exemplo de chave DSA: `-----BEGIN DSA PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END DSA PRIVATE KEY-----` E um exemplo de chave ECDSA: `-----BEGIN EC PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END EC PRIVATE KEY-----` O Now Platform oferece suporte a chaves privadas no formato PEM gerado pelo utilitário OpenSSH ssh-keygen. Para converter chaves PPK que foram geradas pelo PuTTY: Abra sua chave privada no PuTTYGen. Exporte-o no formato OpenSSH no menu Conversões > Exportar chave OpenSSH. Salve a nova chave OpenSSH.
Certificado SSH	Insira um certificado OpenSSH baseado em RSA para fazer login SSH usando certificados. Quando o certificado é inserido, uma chave privada é usada para autenticação baseada em certificados. Essa autenticação é compatível com OpenSSH versão 7.8 ou mais recente.
Alias de credencial	Permita que os designers de fluxo usem aliases para gerenciar informações de conexão e de credencial. O uso de um alias elimina a necessidade de configurar várias credenciais e perfis de informações de conexão ao usar vários ambientes. Se as informações de conexão ou de credencial forem alteradas, não será necessário atualizar nenhuma ação que use a conexão. Para obter mais informações, consulte Conexões e credenciais. Permita que os criadores do fluxo de trabalho atribuam credenciais individuais a qualquer atividade em um fluxo de trabalho do Orquestação ou atribuam credenciais diferentes a cada ocorrência do mesmo tipo de atividade em um fluxo de trabalho do Orquestação.
Armazenamento de credenciais externas	Marque esta caixa de seleção para usar um sistema de armazenamento de credenciais externas. Quando você seleciona esta opção, os campos Nome de usuário e Senha são substituídos pelo campo ID de credencial. Atualmente, o único sistema de armazenamento externo compatível é o CyberArk.
MID servers	Selecione um ou mais MID Servers na lista de MID Servers disponíveis. As credenciais configuradas neste registro estão disponíveis para os MID Servers nesta lista. Este campo está disponível somente quando você seleciona MID Servers específicos no campo Aplica-se a.
Aplica-se a	Selecione se deseja aplicar essas credenciais a Todos os MID Servers em sua rede, ou a um ou mais MID Servers específicos. Especifique os MID Servers que devem usar essas credenciais no campo Servidores MID.
Ordem	A ordem (sequência) na qual a plataforma experimenta esta credencial ao tentar fazer login nos dispositivos. Quanto menor o número, mais alta será a exibição dessa credencial na lista. Estabeleça a ordem de credenciais ao usar um grande número de credenciais ou quando a segurança bloquear usuários após três tentativas de login com falha. Se todas as credenciais tiverem o mesmo número de pedido (ou nenhum), a Descoberta ou Orquestação tentará as credenciais em uma ordem aleatória.

Tipo de credencial SSH

Esses campos estão disponíveis no formulário de credenciais SSH.


Campo	Descrição
Nome	Insira um nome exclusivo e descritivo para esta credencial.
Ativo	Habilite ou desabilite essas credenciais para uso.
Nome de usuário	Insira o nome de usuário a ser criado na tabela Credenciais. Evite espaços iniciais ou finais em nomes de usuário. Um aviso vai ser exibido se a plataforma detectar espaços iniciais ou finais no nome de usuário. Para a descoberta CIM, o usuário deve ter a função de administrador.
Senha	Insira a senha.
ID da Credencial	Insira a chave exclusiva configurada para credenciais externas no arquivo JAR carregado no MID Server para um sistema de credenciais externas. O campo ID de credencial tem um limite de 40 caracteres. Este campo só estará visível quando a caixa de seleção Armazenamento de credenciais externas estiver marcada.
Alias de credencial	Permita que os designers de fluxo usem aliases para gerenciar informações de conexão e de credencial. O uso de um alias elimina a necessidade de configurar várias credenciais e perfis de informações de conexão ao usar vários ambientes. Se as informações de conexão ou de credencial forem alteradas, não será necessário atualizar nenhuma ação que use a conexão. Para obter mais informações, consulte Conexões e credenciais. Permita que os criadores do fluxo de trabalho atribuam credenciais individuais a qualquer atividade em um fluxo de trabalho do Orquestação ou atribuam credenciais diferentes a cada ocorrência do mesmo tipo de atividade em um fluxo de trabalho do Orquestação. Para usar a credencial para descobrir ICs que não pertencem a este tipo de IC usando o Mapeamento de serviços e os Padrões de descoberta, insira o nome da tabela para o tipo de IC ao qual o IC pertence, por exemplo, cmdb_ci_apache_web_server. Para obter mais informações, consulte Mudar credenciais para não padrão.
Armazenamento de credenciais externas	Marque esta caixa de seleção para usar um sistema de armazenamento de credenciais externas. Quando você seleciona esta opção, os campos Nome de usuário e Senha são substituídos pelo campo ID de credencial. O armazenamento de credenciais externas só está disponível quando o plug-in External Credential Storage está ativado. Nota: Atualmente, o único sistema de armazenamento externo compatível é o CyberArk.
Aplica-se a	Selecione se deseja aplicar essas credenciais a Todos os MID Servers em sua rede, ou a um ou mais MID Servers específicos. Especifique os MID Servers que devem usar essas credenciais no campo MID Servers.
MID servers	Selecione um ou mais MID Servers na lista de MID Servers disponíveis. As credenciais configuradas neste registro estão disponíveis para os MID Servers nesta lista. Este campo está disponível somente quando você seleciona MID Servers específicos no campo Aplica-se a.
Ordem	A ordem (sequência) na qual o Descoberta testa esta credencial ao tentar fazer login nos dispositivos. Quanto menor o número, mais alta será a exibição dessa credencial na lista. Estabeleça a ordem de credenciais ao usar um grande número de credenciais ou quando a segurança bloquear usuários após três tentativas de login com falha. Se todas as credenciais tiverem o mesmo número na ordem (ou número nenhum), a instância vai tentar usar as credenciais em uma ordem aleatória.

Comandos que exigem privilégios de root para Descoberta, Orquestação e IntegrationHub

Esses exemplos presumem que o nome de usuário é Disco. Substitua o nome de usuário real e certifique-se de que os caminhos dos comandos correspondam aos caminhos no sistema.

Nota:

Comandos sudo não funcionam com credenciais de chave privada, porque não há senha para fornecer ao comando sudo. Uma solução é adicionar a opção NOPASSWD à configuração do sudo. Por exemplo, você pode inserir: disco ALL=(root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig.

Tabela 1. Comandos do UNIX e Linux que exigem privilégios de root
Comando	Finalidade
HP-UX
adb	Reúne velocidade da CPU e memória. /etc/exemplo de sudoers: Disco ALL=(root) /usr/bin/adb Usado por: Descoberta
Todas as versões do Linux e UNIX
mudança	Altera o número de dias entre as mudanças de senha e a data da última mudança de senha. Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/chage Usado por: Orquestação e IntegrationHub
chpasswd	Altera as senhas do usuário. Exemplo da linha /etc/sudoers: Disco ALL=(root) /etc/chpasswd Usado por: Orquestação e IntegrationHub
Todos os Linux
dmidecode	Reúne várias informações sobre o hardware, incluindo o número de série incorporado à placa-mãe. Exemplo da linha /etc/sudoers: Disco ALL=(root) /sbin/dmidecode Usado por: Descoberta
fdisk	Reúne os discos e as informações de tamanho no sistema. Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/fdisk -l Usado por: Descoberta
multipath	Reúne mapeamentos de dispositivo para MPIO. Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/multipath -ll Usado por: Descoberta
Linux e Solaris
dmsetup	Examina um volume de nível baixo. exemplo de linha /etc/sudoers: Disco ALL=(root) /usr/bin/dmsetup table* Disco ALL=(root) /usr/bin/dmsetup ls Usado por: Descoberta
Todas as versões do UNIX
lsof	Determina o relacionamento entre os processos e as conexões feitas com o sistema. Exemplo da linha /etc/sudoers: Disco ALL=(root) /sbin/lsof Usado por: Descoberta
oratab	Concede acesso de leitura ao arquivo oratab para localizar a página inicial do Oracle e o pfile. Exemplo da linha /etc/sudoers: N/A Usado por: Descoberta
Solaris
iscsiadm	Obtém IQNs iSCSI Exemplo de linha /etc/sudoers: $ {sudo: iscsiadm list target -S} Usado por: Descoberta
fcinfo	Obtém WWPNs para portas. Exemplo de linha /etc/sudoers: $ {sudo: fcinfo remote-port -sl -p$port} Usado por: Descoberta
prtvtoc	Relata informações sobre partições de disco. Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/prtvtoc Usado por: Descoberta
pfiles	Usado para coletar informações de conexões TCP. Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/pfiles Usado por: Descoberta
pgrep	Usado para listar IDs de processo de uma região específica para executar pfiles. Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/pgrep Usado por: Descoberta
/usr/bin/ps	Lista o processo em execução. Como alternativa à execução com acesso raiz, adicione uma função proc_owner. Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/ps Usado por: Descoberta
/usr/ucb/ps	Lista o processo em execução. Como alternativa à execução com acesso raiz, adicione uma função proc_owner. O uso do comando `/usr/ucb/ps` foi descontinuado no Solaris 11. Como Descoberta, Orquestraçãoe IntegrationHub exigem o uso deste comando para todas as versões do Solaris, você deve instalar o utilitário ucb manualmente nos sistemas Solaris 11. Para obter instruções, consulte KB0564262. Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/ucb/ps Usado por: Descoberta

Para obter uma lista de comandos privilegiados necessários para a Descoberta e o Mapeamento de serviços, consulte Service Mapping commands requiring a privileged user para obter uma lista dos comandos que exigem direitos elevados para descobrir e mapear hosts baseados em Unix na sua organização.

Requisitos de acesso para credenciais não root

Se você não fornecer credenciais de acesso root a Descoberta, deverá fornecer credenciais com os seguintes requisitos de acesso.


Aplicação	Arquivo ou diretório	Acesso Necessário
Apache	httpd.conf	Leitura
Hbase	hbase-site.xml	Leitura
JBoss	jboss-service.xml	Leitura
	Diretório inicial do JBoss	Leitura
	web.xml	Leitura
MySQL	my.cnf	Leitura
NGINX	nginx.conf	Leitura
Oracle	oratab	Leitura
Oracle	Arquivos associados (s)	Leitura
Oracle Listener	lsnrctl	Executar
Oracle Listener	listener.ora	Leitura
Tomcat	catalina.jar	Leitura
	server.xml	Leitura
	web.xml	Leitura
Unix	/etc/*release	Leitura
	/ etc / bashrc	Leitura
	/etc/profile	Leitura
	/proc/cpuinfo	Leitura
	/proc/vmware/sched/ncpus	Leitura
	/var/log/dmesg	Leitura
	Diretório APD	Leitura
WebSphere	cell.xml	Leitura
	server.xml	Leitura
	serverindex.xml	Leitura