編集

コマンドラインポリシータイプ

コマンドラインポリシーの設定と使用

概要

macOSおよびLinuxシステムでは、コマンドラインポリシーが標準ユーザーによる sudo の使用を管理します。

デフォルトで、Keeperは標準ユーザーが sudo で昇格実行できる特定のLinuxコマンドのリストを定義しています。リクエストがこのリスト内のコマンドと一致した場合、Keeperはポリシーを適用し、その内容に基づいて承認、多要素認証 (MFA)、実行理由の入力を求めます。

仕組み

コマンドが承認されると、Keeperサービスは一時的に、そのユーザーの sudoers ファイルに指定されたコマンドを追加します。

使用方法

コマンドラインポリシーが適用されると、KeeperはPAMモジュールを利用して sudo コマンドを上書きし、新しい keepersudo コマンドとして動作させます。ユーザーは keepersudo を実行することで、承認リクエストの送信、多要素認証 (MFA) による昇格、または実行理由の入力を行うことができます。

ユーザーが sudo を使用しようとすると、次のように新しいコマンドの使用を案内されます。

ubuntu@ip-172-31-8-134:/home$ sudo systemctl restart nginx
ERROR: To run sudo, use keepersudo

昇格ポリシーが適用されている場合、ユーザーは以下のように keepersudo でコマンドを実行します。

ubuntu@ip-172-31-8-134:/home$ keepersudo systemctl restart nginx

Your Keeper Administrator requires approval for this action.
Please enter the reason for this request: Ticket SYS-4432 I need to restart nginx

Approval request has been submitted.

To refresh approval status run: keeperagent --refresh
After approval run: keeperagent --approval

管理者は、この昇格リクエストを受信して承認を行います。

リクエストが承認されると、ユーザーは次のコマンドを実行して承認済みのリクエストを実行できます。

ubuntu@ip-172-31-8-134:/home$ keeperagent --approval

You have 1 approved command:

1: /usr/bin/sudo /usr/bin/systemctl restart nginx (expires in 23 hours and 57 minutes)

To run an approved command, enter the number.
To see pending requests, type 'p'
To refresh approvals, type 'r'
Choose an option or 'e' to exit: 1

sudo昇格の管理

管理コンソールで [エンドポイント特権マネージャー] > [ポリシー] に移動し、新しいポリシーを作成します。ポリシータイプとして [コマンドライン] を選択し、次に [適用] を選択します。

コマンドラインポリシーは、特定のユーザーおよびマシンコレクションに適用できます。ポリシーを適用するマシンコレクションを選択します。

高度な構成

許可される sudo コマンドの一覧は、ExecutableAllowlist.json というファイルで設定します。

macOSの場合、ファイルの場所は以下です。

/Library/Keeper/sbin/Plugins/bin/KeeperLeastPrivilegeEnforcer/Configuration/ExecutableAllowlist.json

Linuxの場合、ファイルの場所は以下です。

/opt/keeper/sbin/Plugins/bin/KeeperLeastPrivilegeEnforcer/Configuration/ExecutableAllowlist.json

管理者が追加のコマンドを許可したい場合は、このファイルを各エンドポイントで編集する必要があります (今後のリリースで、KeeperのフロントエンドUIおよびSDKインターフェースに許可コマンドの設定機能が統合される予定です)。

組み込みユーザーの動作

Keeperは、 ubuntuec2-user などの組み込みユーザーの sudo 権限を変更しません。したがって、ユーザーが既に sudo 権限を持つグループのメンバーである場合、 ExecutableAllowlist.json のリストに限定されることなく、 sudo コマンドを実行できます。言い換えると、Keeperのサービスは可能な範囲でポリシーを適用しますが、システム管理者によってすでに昇格権限が付与されている場合には制限が及ばないことがあります。

完全な昇格制御を行うには、ユーザーが既存の sudo グループのメンバーになっていないことを確認してください。

前へ権限昇格ポリシータイプ次へファイルアクセスポリシータイプ

最終更新