# Linuxネイティブ環境でのゲートウェイ
## 概要 本ページでは、Linuxネイティブパッケージ上でKeeperゲートウェイをインストール、構成、アップデートする方法について取り扱います。 ## 要件 * 先へ進む前に、[Keeperゲートウェイデバイスを作成](/keeperpam/jp/secrets-manager/about/one-time-token.md)してください。 * 完全な機能を利用するには、Rocky Linux 9、RHEL 9、またはAlma Linux 9を推奨します。 * これらを使用できない場合は、[Dockerを使用](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/getting-started/gateways/docker-installation/README.md)してインストールしてください。 ## インストール #### インストールコマンド 以下のコマンドを実行すると、ゲートウェイがインストールされ、サービスとして実行されます。 ```bash curl -fsSL https://keepersecurity.com/pam/install | \ sudo bash -s -- --token XXXXXX ``` * XXXXXをKeeperゲートウェイの作成時に表示されるワンタイムアクセストークンに置き換えます。 * 初回インストールファイルはkeepersecurity.comから取得されます。インストール後は、ゲートウェイの定常的なアウトバウンド接続を、[こちら](#nettowku)に記載されているリージョン別エンドポイントのみに制限することが可能です。 #### インストール場所 ゲートウェイは以下の場所にインストールされます。 ``` /usr/local/bin/keeper-gateway ``` 同じディレクトリに`gateway`というエイリアスも作成されます。 ``` gateway -> /usr/local/bin/keeper-gateway ``` ## ゲートウェイサービス管理 Keeperゲートウェイをサービスとして管理するために、ゲートウェイのインストール中に以下が作成されます。 * `keeper-gateway`というフォルダ * `keeper-gw`というユーザー #### keeper-gatewayフォルダ `keeper-gateway`フォルダは以下の場所に作成され、ゲートウェイ構成ファイルが含まれています。 ``` /etc/keeper-gateway ``` #### keeper-gwユーザー ゲートウェイのインストール中に新しいユーザーの`keeper-gw`が作成され、`/etc/sudoers.d/`のsudoersリストに追加されます。 `keeper-gw`はkeeper-gatewayフォルダの所有者で、ゲートウェイサービスを実行します。これは、ゲートウェイサービスでローテーションを実行し、ポストローテーションスクリプトを実行する際に必要となります。 ### ゲートウェイ サービスの管理 以下は、Keeperゲートウェイをサービスとして起動、再起動、停止するためのコマンドです。 ```sh sudo systemctl start keeper-gateway sudo systemctl restart keeper-gateway sudo systemctl stop keeper-gateway ``` ## Keeperゲートウェイ構成ファイル Keeperゲートウェイ構成ファイルには、KeeperシークレットマネージャーAPIからのデータを認証および復号化するために使用される暗号化キー、クライアント識別子、宛先サーバー情報を含むトークンのセットが含まれています。この構成ファイルは、[ゲートウェイ作成](/keeperpam/jp/privileged-access-manager/getting-started/gateways/one-time-access-token.md)時に生成されるワンタイムアクセストークンから作成されます。 Keeperゲートウェイがサービスとしてインストールされ実行されている場合、ゲートウェイ構成ファイルは以下の場所に保存されます。 ``` /etc/keeper-gateway/gateway-config.json ``` Keeperゲートウェイがローカルにインストールされていて、サービスとして実行されていない場合、ゲートウェイ構成ファイルは以下の場所に保存されます。 ``` /.keeper/gateway-config.json ``` ## Keeperゲートウェイログファイル デバッグ情報を含むログが自動的に作成され、ローカルマシンに保存されます。 ゲートウェイがサービスとして実行されている場合、ログファイルは以下の場所に保存されます。 ``` /var/log/keeper-gateway/ ``` ゲートウェイがサービスとして実行されていない場合、ログファイルは以下の場所に保存されます。 ``` /.keeper/logs/ ``` ### 詳細ログ 詳細ログを追加するには、以下のファイルを変更します。 ``` /etc/systemd/system/keeper-gateway.service ``` 以下のように`gateway start`コマンドに`-d`フラグを追加します。 {% code overflow="wrap" %} ``` ExecStart=/bin/bash -c "/usr/local/bin/gateway start --service -d --config-file /etc/keeper-gateway/gateway-config.json" ``` {% endcode %} サービスに変更を適用します。 ```sh sudo systemctl daemon-reload sudo systemctl restart keeper-gateway ``` #### ログの追跡 ``` sudo journalctl -u keeper-gateway.service -f ``` ## アップデート Keeperゲートウェイをアップデートするには以下のコマンドを実行します。 ```sh curl -fsSL https://keepersecurity.com/pam/beta/install | sudo bash -s -- ``` ## 自動アップデート Keeperゲートウェイのインストールでアップデートを自動チェックするように設定し、常に最新バージョンにアップデートされるようにします。詳細については、[こちらののページ](/keeperpam/jp/privileged-access-manager/getting-started/gateways/auto-updater.md)をご参照ください。 ## アンインストール Keeperゲートウェイをアンインストールするには以下のコマンドを実行します。 ```sh curl -fsSL https://keepersecurity.com/pam/beta/uninstall | sudo bash -s -- ``` ## ヘルスチェック ゲートウェイサービスの動作状況を確認するために、ヘルスチェックを設定できます。Dockerのオーケストレーションやロードバランサー、自動監視ツールと連携させる際に便利です。設定方法や具体例については、「[ヘルスチェック](/keeperpam/jp/privileged-access-manager/getting-started/gateways/health-checks.md)」ページをご参照ください。 ## ネットワーク構成 Keeperゲートウェイはアウトバウンド専用の接続を確立するため、インバウンドのファイアウォールルールは必要ありません。ただし、以下の**アウトバウンド**接続は許可されている必要があります。 | 宛先エンドポイント | 必要なポート | 備考 | | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------- | ---------------------------------------------------------------- | |

Keeperクラウド keepersecurity.\[x]

エンドポイント:

US: .com

EU: .eu

AU: .com.au

JP: .jp

CA: .ca

US\_GOV: .us

| TLSポート443 | Keeperクラウドと通信し、ネイティブプロトコル (例: SSH、RDP) を介して対象インフラストラクチャにアクセスします。 | |

Keeperルーター connect.keepersecurity.\[x]

エンドポイント:

US: .com

EU: .eu

AU: .com.au

JP: .jp

CA: .ca

US\_GOV: .us

| TLSポート443 | Keeperルーターと通信し、安全なリアルタイムWebSocket接続を確立します。 | |

Keeper Stun/Turnサービス

krelay.keepersecurity.\[x]

エンドポイント:

US: .com

EU: .eu

AU: .com.au

JP: .jp

CA: .ca

US\_GOV: .us

|

TCPおよびUDPのポート3478を開放。

さらに、TCPおよびUDPのポート49152~65535のアウトバウンドアクセスを許可。

| ゲートウェイを介して、エンドユーザーのボルトと対象システム間の安全で暗号化されたWebRTC接続を確立します。 | ゲートウェイでは、すべての暗号化および復号化処理をローカルで実行することでゼロ知識を保持します。Keeperクラウドとの通信にはKeeperシークレットマネージャーのAPIを使用します。 ## チェックサムの検証 Keeperゲートウェイの最新バージョンに対応するSHA256ハッシュは、で公開されています。 #### チェックサムの計算と検証方法 **Linux** ```bash sha256sum keeper-gateway_linux_x86_64 cat keeper-gateway_X.X.X_SHA256SUMS | grep keeper-gateway_linux_x86_64 ``` **PowerShell** {% code overflow="wrap" %} ```powershell Get-FileHash -Algorithm SHA256 keeper-gateway_windows_x86_64.exe | Format-List Get-Content keeper-gateway_X.X.X_SHA256SUMS | Select-String keeper-gateway_windows_x86_64.exe ``` {% endcode %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/getting-started/gateways/linux-installation.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.