# Linuxでのデプロイ

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FJvXtpJuWPd6g2ESeD0tU%2FPEDM%20Deployment.jpg?alt=media&#x26;token=2437e755-a513-4ee7-ac06-d7bee30014e6" alt=""><figcaption></figcaption></figure>

本ページでは、LinuxシステムにKeeperエンドポイント特権マネージャー (EPM) をデプロイする手順を説明します。エージェントのインストールと起動、Keeper環境への接続、特権制御が `sudo` とどう連携するか、動作確認までを扱います。

## 概要 <a href="#overview" id="overview"></a>

Linux上では、Keeper EPMの動作がWindowsやmacOSとは少し異なります。

グラフィカルなシステムとは統合せず、**PAM (Pluggable Authentication Modules)** を介して**sudo**と直接連携します。

* Keeperは、**誰が特権コマンドを実行できるか**を制御します
* 必要に応じて以下のいずれかを求めるよう設定できます
  * MFA
  * 承認
  * 正当な理由
* ユーザーが通常どおりコマンドラインを使う方法自体は変えません

### サポートされるLinuxバージョン <a href="#supported-linux-versions" id="supported-linux-versions"></a>

代表的な例はUbuntu 22.04以降です。その他の主要ディストリビューションでも利用できますが、利用前にご利用環境との互換性を確認してください。

## デプロイの選択肢 <a href="#how-you-can-deploy-it" id="how-you-can-deploy-it"></a>

環境に応じて複数のデプロイ方法があります。手動インストールは検証向け、スクリプトは自動化に柔軟です。大規模環境ではAnsible、Chef、Puppetなどの構成管理ツールで一貫したスケールデプロイが一般的です。

いずれの方法でも、エージェントのインストール、サービスの開始、デバイスの登録、必要に応じたPAMによる `sudo` の適用というコアの流れは同じです。

### デプロイメントパッケージ (推奨) <a href="#deployment-packages-recommended" id="deployment-packages-recommended"></a>

LinuxでKeeperをデプロイする最も簡単な方法は、Keeper管理コンソールのデプロイメントパッケージを使うことです。Linuxインストーラ (`.deb` または `.rpm`)、登録トークン、オンボーディングに必要な構成情報が含まれます。エージェント配布の標準かつ推奨の方法です。

#### パッケージの取り扱い <a href="#package-handling" id="package-handling"></a>

デプロイメントパッケージをダウンロードしたらZIPを展開し、ディストリビューションに合ったインストーラを使用します。DebianまたはUbuntuでは `.deb` を、RHELまたはCentOS環境では `.rpm` を使用します。

#### 開始前のチェックリスト (要件) <a href="#before-you-start-prerequisite-checklist" id="before-you-start-prerequisite-checklist"></a>

以下を用意してください。

* EPMが有効なKeeperテナント
* **登録トークン**
* Linuxインストーラパッケージ
* **rootまたはsudo権限**
* ネットワーク接続 (デフォルトではポート6889のHTTPS)

## エージェントのインストール <a href="#installing-the-agent" id="installing-the-agent"></a>

{% stepper %}
{% step %}
**ダウンロードと展開**

```
curl -o KeeperPrivilegeManagerLinux.zip "https://keepersecurity.com/pam/pedm/core/latest/KeeperPrivilegeManagerLinux.zip"
unzip KeeperPrivilegeManagerLinux.zip
cd linux
```

{% endstep %}

{% step %}
**エージェントのインストール**

ディストリビューションに応じてパッケージをインストールします (`N.N.N-NN` はバージョン番号)。

**Debian / Ubuntu**

```
sudo dpkg -i keeper-privilege-manager_N.N.N-NN_amd64.deb
```

**RHEL / CentOS**

```
sudo rpm -i keeper-privilege-manager-N.N.N-NN.aarch64.rpm
```

エージェントのインストール先は以下のとおりです。

```
/opt/keeper/
```

{% endstep %}

{% step %}
**(任意) GNOMEエージェントUIのインストール**

GNOMEを利用しているLinuxでは、Keeperのユーザーインターフェースを拡張機能として利用できます。

エンドポイントにGNOME Shellがインストールされていることを確認してください。

```
sudo apt install -y gnome-shell-extension-prefs
or
keepersudo apt install -y gnome-shell-extension-prefs 
(if Keeper is already installed)
```

システムメニューからGNOME拡張機能アプリ (`gnome-extensions-app`) または拡張機能マネージャーを開き、すべてのオプションをオンにします。

Keeper EPMのアイコンがシステムトレイまたは上部バーに表示され、エージェントの状態と操作にアクセスできます。

<figure><img src="/files/1uTKl9SnMBXgQ28SEZ4C" alt="" width="375"><figcaption></figcaption></figure>

LinuxでもWindowsやmacOSと同様にフル機能のUIが利用できます。

<figure><img src="/files/Vn5AunzbgnzIYqYM2XKg" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**サービスの開始**

Keeperは**systemd**によりバックグラウンドサービスとして動作します。

**開始**

<pre><code><strong>keepersudo systemctl start keeper-privilege-manager
</strong></code></pre>

**起動時の自動開始**

```
keepersudo systemctl enable keeper-privilege-manager
```

**状態確認**

```
keepersudo systemctl status keeper-privilege-manager
```

**期待される結果**

```
active (running)
```

{% endstep %}

{% step %}
**稼働状態の確認**

エージェントが動作していることを確認します。

```
curl -k https://localhost:6889/health
```

サービスが応答していることを確認できます。
{% endstep %}

{% step %}
**デバイスの登録**

LinuxマシンをKeeper環境に接続します。

```
keepersudo /opt/keeper/sbin/Jobs/bin/KeeperRegistrationHelper/KeeperRegistrationHelper --token="YOUR_TOKEN_HERE"
```

この手順によりデバイスはポリシーを受け取り、結果を報告できます。

**登録の確認**

```
curl -k https://localhost:6889/api/Keeper/registration
```

**期待される状態**

* エージェントが登録済みであること
* デプロイID (Deployment ID) が返っていること
  {% endstep %}

{% step %}
**(任意) 大規模デプロイ**

大規模環境ではAnsible、Puppet、Chefなどのツールで自動化する構成が一般的です。

**スクリプトの例**

```
#!/bin/bash
# パッケージをインストール
dpkg -i keeper-privilege-manager*.deb

# サービスを開始
systemctl start keeper-privilege-manager

# 起動を待機
sleep 20

# デバイスを登録
/opt/keeper/sbin/Jobs/bin/KeeperRegistrationHelper/KeeperRegistrationHelper --token="YOUR_TOKEN_HERE"
```

自動化ツールでは、このパターンを踏襲することが多いです。
{% endstep %}

{% step %}
**デプロイの検証**

デプロイ後にすべてが動作していることを確認します。

**サービスが動作している**

```
keepersudo systemctl status keeper-privilege-manager
```

**ヘルスチェック**

```
curl -k https://localhost:6889/health
```

**デバイスが登録されている**

Keeper Clientを開き、**\[About]** を選択してバージョン情報画面を確認します。

<figure><img src="/files/QRrEJPIv2bouqXnmfkop" alt=""><figcaption></figcaption></figure>

**プラグインが動作している (任意)**

```
ps -ef | grep [K]eeper
```

**期待される状態**

* KeeperAPIが動作している
* KeeperPolicyが動作している

**sudoの適用を試す (有効な場合)**

```
keepersudo ls /root
```

ポリシーによっては、例えば以下のような画面になります。

* MFAのプロンプト
* 承認リクエスト
* 許可または拒否
  {% endstep %}
  {% endstepper %}

### インストール後の動作 <a href="#what-happens-after-installation" id="what-happens-after-installation"></a>

インストール後、エージェントは `/opt/keeper/` に配置され、systemdによりサービスが起動します。デバイスはシステムデータの収集を開始し、Keeperからポリシーを同期します。ポリシーが積極的に適用されるまではユーザーの業務への影響はありません。

#### **Linuxでのsudoの扱い** <a href="#linux-sudo-usage" id="linux-sudo-usage"></a>

インストール後、Keeperはデバイス上のPAMを変更して `sudo` をラップします。`sudo` コマンドの利用はすべて `keepersudo` に委譲されます。

構成および使用方法の詳細は、[コマンドラインポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/command-line-policy-type.md)をご参照ください。

#### **アップデート** <a href="#updating" id="updating"></a>

すでに登録済みのエージェントを更新する場合は、以下を実行します。

```
curl -o KeeperPrivilegeManagerLinux.zip "https://keepersecurity.com/pam/pedm/core/latest/KeeperPrivilegeManagerLinux.zip"
unzip KeeperPrivilegeManagerLinux.zip
cd linux
keepersudo dpkg -i keeper-privilege-manager_*.deb
```

実行中のバージョンを確認する場合は、以下を実行します。

```
dpkg -l keeper-privilege-manager
```

## **Linuxでのアンインストール** <a href="#uninstall-on-linux" id="uninstall-on-linux"></a>

Keeperエージェントのアンインストールは、プラットフォームおよび上記のインストール方法によって異なります。

**Ubuntu/Debian系**

```
keepersudo apt remove -y keeper-privilege-manager
```

**構成ファイルもすべて削除する場合**

```
keepersudo apt purge -y keeper-privilege-manager
```

**RPM系**

```
keepersudo rpm -e keeper-privilege-manager
```

**RHEL/Rocky/Alma/CentOS/Oracle Linux**

```
keepersudo yum remove -y keeper-privilege-manager

**または**

keepersudo dnf remove -y keeper-privilege-manager
```

すでにインストール済みのエージェントを手動で登録する場合は、以下を実行します。

<pre><code><strong>keepersudo /opt/keeper/sbin/Jobs/bin/KeeperRegistrationHelper/KeeperRegistrationHelper --token="YOUR_TOKEN_HERE"
</strong></code></pre>

### デプロイ後のデフォルト動作 <a href="#default-behavior-after-deployment" id="default-behavior-after-deployment"></a>

デプロイ後、エージェントは既定で監視モードで起動します。ポリシーは評価されますが積極的な適用は行われません。適用を有効にする前に挙動を安全に検証できます。

## ログ (トラブルシューティング用) <a href="#logs-for-troubleshooting" id="logs-for-troubleshooting"></a>

ログファイルは以下のパスに出力されます。

```
/opt/keeper/sbin/Plugins/bin/KeeperLogger/Log/KeeperLoggerYYYYMMDD.log
```

## ユーザー側の体験 <a href="#what-the-user-experiences" id="what-the-user-experiences"></a>

ユーザーから見ると、インストールは通常サイレントで、通常のワークフローは変わりません。ポリシーが適用されると、`sudo` 利用時にMFAや承認のプロンプトが表示されることがあります。それ以外はこれまでどおり動作し、自然な操作性を保ちつつセキュリティを強化できます。

## 注意事項とよくある調整 <a href="#important-notes-common-adjustments" id="important-notes-common-adjustments"></a>

#### PAMが重要 <a href="#pam-is-critical" id="pam-is-critical"></a>

Linuxでコマンドラインポリシーを適用するにはPAM連携が不可欠です。PAMが有効でない場合、`sudo` の操作は制御されずポリシーも適用されません。

#### sudoの挙動の変化 <a href="#sudo-behavior-changes" id="sudo-behavior-changes"></a>

デプロイ後、`sudo` の挙動はポリシーにより制御され、MFAや承認の要求、制限などがかかることがあります。

#### トークンの取り扱い <a href="#protect-your-token" id="protect-your-token"></a>

登録トークンを平文で保存せず、安全な構成管理またはシークレット管理ツールで扱ってください。漏えいリスクに応じてローテーションしてください。

#### サービスの待機時間 <a href="#service-timing" id="service-timing"></a>

登録に失敗する場合、サービスがまだ完全に初期化されていない可能性があります。登録コマンドを実行する前の待機時間を延ばす (例: 20秒から 40秒以上) と改善することがあります。

#### ライフサイクル <a href="#lifecycle-note" id="lifecycle-note"></a>

エージェントを削除または再構成する場合は、適切なコマンド (`rpm -e` または `dpkg -r`) でパッケージをアンインストールし、必要に応じて登録処理を再実行してください。

## トラブルシューティング <a href="#troubleshooting" id="troubleshooting"></a>

### サービスが動作しない <a href="#service-not-running" id="service-not-running"></a>

サービスが動作しない場合は、システムログを確認してください。

```
journalctl -u keeper-privilege-manager
```

### デバイスが登録されない <a href="#device-not-registering" id="device-not-registering"></a>

登録トークンが正しいか、ネットワーク接続があるか、登録試行前にKeeperサービスが動いているかを確認してください。

### sudoのポリシーが効かない <a href="#sudo-policies-not-working" id="sudo-policies-not-working"></a>

PAM連携が有効か、構成が正しく適用されているか、デバイスに適切なポリシーが割り当てられているかを確認してください。

### ポリシーが同期されない <a href="#policies-not-syncing" id="policies-not-syncing"></a>

デバイスが正常に登録されているか、Keeperバックエンドへの接続があるか、KeeperAPIプラグインが動いているかを確認してください。

## まとめ <a href="#summary" id="summary"></a>

LinuxでKeeper EPMをデプロイすると、以下が実現できます。

* **sudo**を利用した最小権限の実施
* コマンドライン操作にMFA、承認、正当な理由を追加
* サーバーや開発者環境の保護

KeeperはLinuxのネイティブな仕組みと直接連携するため、**ユーザーが仕事を進める方法を変えずに強いセキュリティ**を実現できます。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/deployment/deploy-with-linux.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.