コマンドラインポリシータイプ

概要

macOSおよびLinuxシステムでは、コマンドラインポリシーが標準ユーザーによる sudo の使用を管理します。

デフォルトで、Keeperは標準ユーザーが sudo で昇格実行できる特定のLinuxコマンドのリストを定義しています。リクエストがこのリスト内のコマンドと一致した場合、Keeperはポリシーを適用し、その内容に基づいて承認、多要素認証 (MFA)、実行理由の入力を求めます。

仕組み

コマンドが承認されると、Keeperサービスは一時的に、そのユーザーの sudoers ファイルに指定されたコマンドを追加します。

使用方法

コマンドラインポリシーが適用されると、KeeperはPAMモジュールを利用して sudo コマンドを上書きし、新しい keepersudo コマンドとして動作させます。ユーザーは keepersudo を実行することで、承認リクエストの送信、多要素認証 (MFA) による昇格、または実行理由の入力を行うことができます。

ユーザーが sudo を使用しようとすると、次のように新しいコマンドの使用を案内されます。

昇格ポリシーが適用されている場合、ユーザーは以下のように keepersudo でコマンドを実行します。

管理者は、この昇格リクエストを受信して承認を行います。

リクエストが承認されると、ユーザーは次のコマンドを実行して承認済みのリクエストを実行できます。

sudo昇格の管理

管理コンソールで [エンドポイント特権マネージャー] > [ポリシー] に移動し、新しいポリシーを作成します。ポリシータイプとして [コマンドライン] を選択し、次に [適用] を選択します。

コマンドラインポリシーは、特定のユーザーおよびマシンコレクションに適用できます。ポリシーを適用するマシンコレクションを選択します。

高度な構成

許可される sudo コマンドの一覧は、ExecutableAllowlist.json というファイルで設定します。

macOSの場合、ファイルの場所は以下です。

Linuxの場合、ファイルの場所は以下です。

管理者が追加のコマンドを許可したい場合は、このファイルを各エンドポイントで編集する必要があります (今後のリリースで、KeeperのフロントエンドUIおよびSDKインターフェースに許可コマンドの設定機能が統合される予定です)。

組み込みユーザーの動作

Keeperは、 ubuntu や ec2-user などの組み込みユーザーの sudo 権限を変更しません。したがって、ユーザーが既に sudo 権限を持つグループのメンバーである場合、 ExecutableAllowlist.json のリストに限定されることなく、 sudo コマンドを実行できます。言い換えると、Keeperのサービスは可能な範囲でポリシーを適用しますが、システム管理者によってすでに昇格権限が付与されている場合には制限が及ばないことがあります。

完全な昇格制御を行うには、ユーザーが既存の sudo グループのメンバーになっていないことを確認してください。