Linuxでのデプロイ

本ページでは、LinuxシステムにKeeperエンドポイント特権マネージャー (EPM) をデプロイする手順を説明します。エージェントのインストールと起動、Keeper環境への接続、特権制御が sudo とどう連携するか、動作確認までを扱います。

概要

Linux上では、Keeper EPMの動作がWindowsやmacOSとは少し異なります。

グラフィカルなシステムとは統合せず、PAM (Pluggable Authentication Modules) を介してsudoと直接連携します。

• Keeperは、誰が特権コマンドを実行できるかを制御します

• 必要に応じて以下のいずれかを求めるよう設定できます

  • MFA

  • 承認

  • 正当な理由

• ユーザーが通常どおりコマンドラインを使う方法自体は変えません

サポートされるLinuxバージョン

Keeper EPMは、以下を含む主要ディストリビューションで利用できます。

• Ubuntu 22.04以上

ご利用のディストリビューションについては、展開前に互換性を確認してください。

デプロイの選択肢

環境に応じて複数のデプロイ方法があります。手動インストールは検証向け、スクリプトは自動化に柔軟です。大規模環境ではAnsible、Chef、Puppetなどの構成管理ツールで一貫したスケールデプロイが一般的です。

いずれの方法でも、エージェントのインストール、サービスの開始、デバイスの登録、必要に応じたPAMによる sudo の適用というコアの流れは同じです。

デプロイメントパッケージ (推奨)

LinuxでKeeperをデプロイする最も簡単な方法は、Keeper管理コンソールのデプロイメントパッケージを使うことです。Linuxインストーラ (.deb または .rpm)、登録トークン、オンボーディングに必要な構成情報が含まれます。エージェント配布の標準かつ推奨の方法です。

パッケージの取り扱い

デプロイメントパッケージをダウンロードしたらZIPを展開し、ディストリビューションに合ったインストーラを使用します。DebianまたはUbuntuでは .deb を、RHELまたはCentOS環境では .rpm を使用します。

開始前のチェックリスト (要件)

以下を用意してください。

• EPMが有効なKeeperテナント

• 登録トークン

• Linuxインストーラパッケージ

• rootまたはsudo権限

• ネットワーク接続 (デフォルトではポート6889のHTTPS)

エージェントのインストール

1

ダウンロードと展開

2

エージェントのインストール

ディストリビューションに応じてパッケージをインストールします (N.N.N-NN はバージョン番号)。

Debian / Ubuntu

RHEL / CentOS

エージェントのインストール先は以下のとおりです。

3

(任意) GNOMEエージェントUIのインストール

GNOMEを利用しているLinuxでは、Keeperのユーザーインターフェースを拡張機能として利用できます。

エンドポイントにGNOME Shellがインストールされていることを確認してください。

システムメニューからGNOME拡張機能アプリ (gnome-extensions-app) または拡張機能マネージャーを開き、すべてのオプションをオンにします。

Keeper EPMのアイコンがシステムトレイまたは上部バーに表示され、エージェントの状態と操作にアクセスできます。

LinuxでもWindowsやmacOSと同様にフル機能のUIが利用できます。

4

サービスの開始

Keeperはsystemdによりバックグラウンドサービスとして動作します。

開始

起動時の自動開始

状態確認

期待される結果

5

稼働状態の確認

エージェントが動作していることを確認します。

サービスが応答していることを確認できます。

6

デバイスの登録

LinuxマシンをKeeper環境に接続します。

この手順によりデバイスはポリシーを受け取り、結果を報告できます。

登録の確認

期待される状態

• エージェントが登録済みであること

• デプロイID (Deployment ID) が返っていること

7

(任意) 大規模デプロイ

大規模環境ではAnsible、Puppet、Chefなどのツールで自動化する構成が一般的です。

スクリプトの例

自動化ツールでは、このパターンを踏襲することが多いです。

8

デプロイの検証

デプロイ後にすべてが動作していることを確認します。

サービスが動作している

ヘルスチェック

デバイスが登録されている

Keeper Clientを開き、[About] を選択してバージョン情報画面を確認します。

プラグインが動作している (任意)

期待される状態

• KeeperAPIが動作している

• KeeperPolicyが動作している

sudoの適用を試す (有効な場合)

ポリシーによっては、例えば以下のような画面になります。

• MFAのプロンプト

• 承認リクエスト

• 許可または拒否

インストール後の動作

インストール後、エージェントは /opt/keeper/ に配置され、systemdによりサービスが起動します。デバイスはシステムデータの収集を開始し、Keeperからポリシーを同期します。ポリシーが積極的に適用されるまではユーザーの業務への影響はありません。

Linuxでのsudoの扱い

インストール後、Keeperはデバイス上のPAMを変更して sudo をラップします。sudo コマンドの利用はすべて keepersudo に委譲されます。

構成および使用方法の詳細は、コマンドラインポリシーをご参照ください。

アップデート

すでに登録済みのエージェントを更新する場合は、以下を実行します。

実行中のバージョンを確認する場合は、以下を実行します。

Linuxでのアンインストール

Keeperエージェントのアンインストールは、プラットフォームおよび上記のインストール方法によって異なります。

Ubuntu/Debian系

構成ファイルもすべて削除する場合

RPM系

RHEL/Rocky/Alma/CentOS/Oracle Linux

すでにインストール済みのエージェントを手動で登録する場合は、以下を実行します。

デプロイ後のデフォルト動作

デプロイ後、エージェントは既定で監視モードで起動します。ポリシーは評価されますが積極的な適用は行われません。適用を有効にする前に挙動を安全に検証できます。

ログ (トラブルシューティング用)

ログファイルは以下のパスに出力されます。

ユーザー側の体験

ユーザーから見ると、インストールは通常サイレントで、通常のワークフローは変わりません。ポリシーが適用されると、sudo 利用時にMFAや承認のプロンプトが表示されることがあります。それ以外はこれまでどおり動作し、自然な操作性を保ちつつセキュリティを強化できます。

注意事項とよくある調整

PAMが重要

Linuxでコマンドラインポリシーを適用するにはPAM連携が不可欠です。PAMが有効でない場合、sudo の操作は制御されずポリシーも適用されません。

sudoの挙動の変化

デプロイ後、sudo の挙動はポリシーにより制御され、MFAや承認の要求、制限などがかかることがあります。

トークンの取り扱い

登録トークンを平文で保存せず、安全な構成管理またはシークレット管理ツールで扱ってください。漏えいリスクに応じてローテーションしてください。

サービスの待機時間

登録に失敗する場合、サービスがまだ完全に初期化されていない可能性があります。登録コマンドを実行する前の待機時間を延ばす (例: 20秒から 40秒以上) と改善することがあります。

ライフサイクル

エージェントを削除または再構成する場合は、適切なコマンド (rpm -e または dpkg -r) でパッケージをアンインストールし、必要に応じて登録処理を再実行してください。

トラブルシューティング

サービスが動作しない

サービスが動作しない場合は、システムログを確認してください。

デバイスが登録されない

登録トークンが正しいか、ネットワーク接続があるか、登録試行前にKeeperサービスが動いているかを確認してください。

sudoのポリシーが効かない

PAM連携が有効か、構成が正しく適用されているか、デバイスに適切なポリシーが割り当てられているかを確認してください。

ポリシーが同期されない

デバイスが正常に登録されているか、Keeperバックエンドへの接続があるか、KeeperAPIプラグインが動いているかを確認してください。

まとめ

LinuxでKeeper EPMをデプロイすると、以下が実現できます。

• sudoを利用した最小権限の実施

• コマンドライン操作にMFA、承認、正当な理由を追加

• サーバーや開発者環境の保護

KeeperはLinuxのネイティブな仕組みと直接連携するため、ユーザーが仕事を進める方法を変えずに強いセキュリティを実現できます。