Comandos privilegiados do MID Server

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Para descobrir determinadas informações em um servidor host, o MID Server deve executar comandos SSH com privilégios mais altos. A plataforma fornece comandos privilegiados padrão para o MID Server usar e a capacidade de adicionar comandos adicionais ao sistema.

    Links para cada uma das seções do MID ServerGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID ServerGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID Server

    Um exemplo de informações que requerem privilégios elevados são as informações sobre discos de armazenamento em um servidor host, recuperadas com o comando fdisk -l. Se o seu sistema não puder usar comandos sudo, você deverá configurar os hosts em sua rede para usar um dos outros comandos privilegiados. Você pode configurar diferentes comandos privilegiados para diferentes hosts. No entanto, Descoberta oferece suporte a apenas um comando privilegiado por host.

    Importante:
    Você pode editar comandos privilegiados compatíveis, mas não excluí-los.

    Para obter uma lista de comandos SSH possíveis que exijam privilégios raiz, consulte Credenciais SSH.

    Tabela 1. Requisitos do comando de escalonação privilegiado de SSH
    Comando Descrição
    sudo
    • O host deve oferecer suporte ao comando sudo -S -p <password> e retornar a lista correta de comandos SSH permitidos.
    • As credenciais fornecidas para o Discovery devem ser capazes de executar o comando sudo -S -p <password> <commands>.
    pbrun
    • O host deve oferecer suporte ao comando pbrun -v e retornar a versão correta do PowerBroker.
    • As credenciais fornecidas para o Discovery devem ser capazes de executar pbrun <commands>.
    • O Discovery não oferece suporte a nenhuma outra opção de pbrun, como um prompt de senha.
    • A instância deve ser capaz de acessar o host de destino via SSH.
    pfexec
    • O host deve oferecer suporte ao comando pfexec id -a e retornar o ID correto.
    • As credenciais fornecidas para o Discovery devem ser capazes de executar o comando pfexec <commands>.
    • O Discovery não oferece suporte a nenhuma outra opção de pfexec -, como um prompt de senha.
    dzdo
    • O host deve oferecer suporte ao comando –v dzdo e retornar o caminho para dzdo na saída padrão.
    • As credenciais fornecidas para Descoberta devem ser capazes de executar o comando dzdo <commands>.
    • O Discovery não oferece suporte a nenhuma outra opção de dzdo –, mas Descoberta oferece suporte à autenticação de senha para dzdo.

    Comandos de longa execução com sudo

    Configure J2SSH e ServiceNow SSH para impedir que comandos de longa execução usando sudo falhem quando o MID Server for desconectado.

    ServiceNow O SSH permite que os probes executem sudo em comandos individuais ou em um script inteiro de execução longa. Isso também é compatível com os comandos privilegiados pbrun e pfexec.

    Sudo para comandos individuais

    Você pode executar sudo em comandos individuais em uma probe, mas somente se todas as configurações de sudoer a seguir forem realizadas no destino:
    • A opção !requiretty é obrigatória.
    • Permitir que comandos individuais sejam executados pelo usuário na credencial fornecida com o NOPASSWD configurado.
    • O destino especifica uma chamada sudo individual no comando ou scripts referenciados. Por exemplo, defina sudo como "sudo fdisk -I" ou "$ {sudo: fdisk -I}" em vez de "must_sudo" para o script inteiro.
    Nota:
    Executar sudo em comandos individuais com ServiceNow SSH produz entradas detalhadas e úteis nos logs de sudo no computador de destino.

    Executando sudo em um script inteiro

    Se algum dos requisitos de configuração sudoer necessários para comandos individuais não estiver em vigor, o Discovery aplicará o sudo às probes iniciais e completas e não executará o sudo remotamente dentro do comando. Esta condição pode ser forçada definindo must_sudo no probe e eliminando todos os comandos sudo no probe.

    Esta abordagem evita que comandos de longa execução falhem quando a probe se desconecta, mas não pode especificar comandos individuais na configuração de sudoers.

    Registro em Log

    Os logs da atividade sudo ServiceNow SSH executada em um script inteiro mostram entradas criptografadas, como /tmp/.run.aef13123fe124123, que impedem os administradores de controlar os comandos permitidos e saber o comando exato que foi executado. A execução do sudo em comandos individuais produz entradas de log mais detalhadas, como /sbin/fdisk–l.

    Adicionar um novo comando privilegiado para uso pelo MID Server

    Adicione um novo comando privilegiado à tabela Comando privilegiado [privileged_command] que está disponível para os seus MID Servers.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Importante:
    Não exclua nenhum dos comandos compatíveis.

    Procedimento

    1. Navegar até Tudo > MID Server > Comando Privilegiado e clique em Novo.
    2. Preencha estes campos:
      • Comando: o nome do comando privilegiado.
      • Prompt de senha: o prompt de senha exibido para o usuário para este comando privilegiado ou uma expressão regular que corresponda a este prompt de senha. Se este campo estiver vazio, nenhuma senha será necessária para este comando privilegiado e nenhum prompt será exibido. Os comandos SUDO não exigem um prompt de senha.
    3. Clique em Enviar.

    Configure o MID Server para usar comandos privilegiados específicos

    Você pode configurar o MID Server para usar comandos específicos em uma ordem definida.

    Antes de Iniciar

    Função necessária: administrador

    Procedimento

    1. Navegue até a lista de MID Servers usando um dos seguintes caminhos:
      • MID Server > Servidores
      • Discovery > MID Servers
      • Orchestration > MID Servers
    2. Selecione o MID Server que deseja configurar.
    3. Clique no ícone de menu na barra de cabeçalho e selecione Exibir > Avançado no menu de contexto.
      Figura 1. Selecionando a exibição Avançada
      Selecionando a exibição Avançada
    4. Na lista relacionada Comando privilegiado, clique em Editar.
    5. Selecione o comando que você deseja que este MID Server use e clique em Salvar.
      A ordem padrão dos comandos privilegiados é 100, mas você pode mudar a ordem conforme necessário. O comando privilegiado com o menor número de pedido é tentado primeiro.
      Figura 2. Lista de comandos privilegiados a serem usados para um MID Server
      Lista de comandos privilegiados a serem usados para um MID Server

    Criar um comando privilegiado de perfil de pbrun

    Você pode criar uma configuração especial para o comando privilegiado pbrun que permite que ele seja executado como um perfil.

    Antes de Iniciar

    Função necessária: discovery_admin, administrador

    Por Que e Quando Desempenhar Esta Tarefa

    De todos os comandos privilegiados, somente o comando pbrun pode ser configurado para ser executado como um perfil e somente uma dessas configurações especiais pbrun pode funcionar em um MID Server.
    Importante:
    Edite o registro pbrun existente para essa finalidade. O sistema ignora todos os comandos adicionais que você cria para pbrun.

    Procedimento

    1. Navegar até Tudo > MID Server > Comando Privilegiado.
    2. Selecione pbrun na lista.
    3. No registro de Comando privilegiado, edite o valor no campo Comando para usar o formato pbrun -u <profile>.
      Por exemplo, você pode definir pbrun -u admin como um comando a ser executado com um perfil de administrador.
    4. Clique em Atualizar.

    O que Fazer Depois

    Retornar para Configurar MID Servers.