Linuxネイティブ環境でのゲートウェイ

KeeperゲートウェイをLinuxネイティブパッケージにインストール

概要

本ページでは、Linuxネイティブパッケージ上でKeeperゲートウェイをインストール、構成、アップデートする方法について取り扱います。

要件

先へ進む前に、Keeperゲートウェイデバイスを作成してください。
完全な機能を利用するには、Rocky Linux 8、RHEL 8、またはAlma Linux 8を推奨します。
これらを使用できない場合は、Dockerを使用してインストールしてください。

インストール

インストールコマンド

以下のコマンドを実行すると、ゲートウェイがインストールされ、サービスとして実行されます。

curl -fsSL https://keepersecurity.com/pam/install | \
  sudo bash -s -- --token XXXXXX

注: XXXXXをKeeperゲートウェイの作成時に表示されるワンタイムアクセストークンに置き換えます。

インストール場所

ゲートウェイは以下の場所にインストールされます。

/usr/local/bin/keeper-gateway

同じディレクトリにgatewayというエイリアスも作成されます。

gateway -> /usr/local/bin/keeper-gateway

ゲートウェイサービス管理

Keeperゲートウェイをサービスとして管理するために、ゲートウェイのインストール中に以下が作成されます。

keeper-gatewayというフォルダ
keeper-gwというユーザー

keeper-gatewayフォルダ

keeper-gatewayフォルダは以下の場所に作成され、ゲートウェイ構成ファイルが含まれています。

/etc/keeper-gateway

keeper-gwユーザー

ゲートウェイのインストール中に新しいユーザーのkeeper-gwが作成され、/etc/sudoers.d/のsudoersリストに追加されます。

keeper-gwはkeeper-gatewayフォルダの所有者で、ゲートウェイサービスを実行します。これは、ゲートウェイサービスでローテーションを実行し、ポストローテーションスクリプトを実行する際に必要となります。

ゲートウェイサービスの管理

以下は、Keeperゲートウェイをサービスとして起動、再起動、停止するためのコマンドです。

sudo systemctl start keeper-gateway
sudo systemctl restart keeper-gateway
sudo systemctl stop keeper-gateway

Keeperゲートウェイ構成ファイル

Keeperゲートウェイ構成ファイルには、KeeperシークレットマネージャーAPIからのデータを認証および復号化するために使用される暗号化キー、クライアント識別子、宛先サーバー情報を含むトークンのセットが含まれています。この構成ファイルは、ゲートウェイ作成時に生成されるワンタイムアクセストークンから作成されます。

Keeperゲートウェイがサービスとしてインストールされ実行されている場合、ゲートウェイ構成ファイルは以下の場所に保存されます。

/etc/keeper-gateway/gateway-config.json

Keeperゲートウェイがローカルにインストールされていて、サービスとして実行されていない場合、ゲートウェイ構成ファイルは以下の場所に保存されます。

<User>/.keeper/gateway-config.json

Keeperゲートウェイログファイル

デバッグ情報を含むログが自動的に作成され、ローカルマシンに保存されます。

ゲートウェイがサービスとして実行されている場合、ログファイルは以下の場所に保存されます。

/var/log/keeper-gateway/

ゲートウェイがサービスとして実行されていない場合、ログファイルは以下の場所に保存されます。

<User>/.keeper/logs/

詳細ログ

詳細ログを追加するには、以下のファイルを変更します。

/etc/systemd/system/keeper-gateway.service

以下のようにgateway startコマンドに-dフラグを追加します。

ExecStart=/bin/bash -c "/usr/local/bin/gateway start --service -d --config-file /etc/keeper-gateway/gateway-config.json"

サービスに変更を適用します。

sudo systemctl daemon-reload
sudo systemctl restart keeper-gateway

ログの追跡

sudo journalctl -u keeper-gateway.service -f

アップデート

Keeperゲートウェイをアップデートするには以下のコマンドを実行します。

curl -fsSL https://keepersecurity.com/pam/beta/install | sudo bash -s --

自動アップデート

Keeperゲートウェイのインストールでアップデートを自動チェックするように設定し、常に最新バージョンにアップデートされるようにします。詳細については、こちらののページをご参照ください。

アンインストール

Keeperゲートウェイをアンインストールするには以下のコマンドを実行します。

curl -fsSL https://keepersecurity.com/pam/beta/uninstall | sudo bash -s --

ヘルスチェック

ゲートウェイサービスの動作状況を確認するために、ヘルスチェックを設定できます。Dockerのオーケストレーションやロードバランサー、自動監視ツールと連携させる際に便利です。設定方法や具体例については、「ヘルスチェック」ページをご参照ください。

ネットワーク構成

Keeperゲートウェイはアウトバウンド専用の接続を確立するため、インバウンドのファイアウォールルールは必要ありません。ただし、以下のアウトバウンド接続は許可されている必要があります。

目的地

必要なポート

備考

Keeper Cloud (keepersecurity.[com|eu|com.au|jp|ca|us])

TLSポート443

Keeper Cloudと通信して、ネイティブプロトコル (例: SSH、RDP) を使用して対象インフラストラクチャへアクセスします。

Keeper Router (connect.keepersecurity.[com|eu|com.au|jp|ca|us])

TLSポート443

Keeper Routerと通信して、安全なリアルタイムWebSocket接続を確立します。

Keeper KRelay Server (krelay.keepersecurity.[com|eu|com.au|jp|ca|us])

ポート3478でのTCPおよびUDP通信を許可する必要があります。また、TCPおよびUDPのポート49152〜65535へのアウトバウンドアクセスも許可されている必要があります。

エンドユーザーのボルトと対象システム間で、ゲートウェイを介した安全かつ暗号化されたリレー接続を実現します。

ゲートウェイでは、すべての暗号化および復号化処理をローカルで実行することでゼロ知識を保持します。Keeperクラウドとの通信にはKeeperシークレットマネージャーのAPIを使用します。

チェックサムの検証

Keeperゲートウェイの最新バージョンに対応するSHA256ハッシュは、https://keepersecurity.com/pam/latest.txtで公開されています。

チェックサムの計算と検証方法

Linux

sha256sum keeper-gateway_linux_x86_64
cat keeper-gateway_X.X.X_SHA256SUMS | grep keeper-gateway_linux_x86_64

PowerShell

Get-FileHash -Algorithm SHA256 keeper-gateway_windows_x86_64.exe | Format-List
Get-Content keeper-gateway_X.X.X_SHA256SUMS | Select-String keeper-gateway_windows_x86_64.exe

前へDocker上でのゲートウェイ次へWindows上のゲートウェイ

最終更新 1 か月前

概要

要件