For the complete documentation index, see llms.txt. This page is also available as Markdown.

Linuxユーザー

Keeperローテーションを使用したローカルネットワークのLinuxユーザーアカウントのローテーション

概要

本ページでは、Keeperローテーションを使用してローカルネットワーク内のLinuxユーザーアカウントをローテーションする方法を取り扱います。パスワード認証とSSHキー認証の両方に対応しています。ローカルネットワークにおけるローテーションの概要については、こちらのページをご参照ください。

要件

以下がすでに完了していることを前提としています。

  • ロールでKeeperシークレットマネージャーが有効になっていること

  • ロールでKeeperローテーションが有効になっていること

  • Keeperシークレットマネージャーアプリケーションが作成済みであること

  • Keeperローテーションゲートウェイがインストール済みで稼働しており、SSHでLinuxマシンと通信できること

1. PAMマシンレコードの設定

Keeperローテーションでは、管理者認証情報でローカル環境内の他のアカウントをローテーションします。管理者認証情報には、他のアカウントの認証情報を変更する十分な権限が必要です。

本ページでは、管理者認証情報をPAMマシンレコードに格納します。

以下の表は、PAMマシンレコードで入力が必要な必須フィールドです。

フィールド
説明

タイトル

レコード名 例: Local Linux Admin

ホスト名またはIPアドレス

ゲートウェイ (内部) または localhost からアクセスするマシンのホスト名またはIP

ポート

SSHの場合は 22

管理者認証情報

ローテーションを実行する管理者アカウントのユーザー名とパスワード (またはSSHキー) を含む、リンク済みPAMユーザーレコード

管理者認証情報を含むリンク済みPAMユーザーレコードは、Keeperゲートウェイからアクセスできる共有フォルダに配置します。

2. PAM構成の設定

pencil-line

環境にPAM構成がすでにある場合は、この手順を省略できます。

新しいPAM構成を作成する場合は、Keeperボルトにログインし、左メニューから [シークレットマネージャー] を選択し、[PAM構成] タブで [新規構成] をクリックします。

以下の表は、PAM構成レコードの必須フィールドです。

フィールド
説明

タイトル

構成名。例: Linux LAN Configuration

環境

Local Network を選択

ゲートウェイ

Keeperシークレットマネージャーアプリケーションに設定され、LinuxデバイスへSSHアクセスできるゲートウェイを選択

アプリケーションフォルダ

PAM構成を格納する共有フォルダを選択。マシンリソースではなく、PAMユーザーレコードと同じ共有フォルダへの配置を推奨

3. PAMユーザーレコードを1件以上設定

Keeperローテーションでは、PAMマシンレコードの認証情報で、ローカル環境のPAMユーザーレコードをローテーションします。PAMユーザー認証情報は、前提条件で作成したKeeperシークレットマネージャーアプリケーションと共有する共有フォルダに格納します。

以下の表は、PAMユーザーレコードの必須フィールドです。

フィールド
説明

レコードタイプ

PAMユーザー

タイトル

Keeperレコードのタイトル

ログイン

ローテーション対象アカウントのユーザー名 (大文字と小文字を区別)。例: msmith

パスワード

アカウントパスワードはオプション。空白の場合はローテーション時に設定

プライベートPEM鍵

SSH秘密鍵。パスワードではなくPEM鍵をローテーションする場合にのみ必要

4. PAMユーザーレコードでローテーションを構成

手順3のPAMユーザーレコードを選択し、編集して [パスワードローテーション設定] を開きます。

  • 希望するスケジュールとパスワードの複雑さを選択

  • [ローテーション設定] では、以前に設定したPAM構成を使用

  • [リソースクレデンシャル] フィールドでは、手順1で設定したPAMマシン認証情報を選択

  • 保存すると、ローテーションボタンが有効になり、オンデマンドまたは選択したスケジュールでローテーション可能

PAMユーザーレコードに edit 権限を持つユーザーは、そのレコードのローテーションを設定できます。

SSHキーのローテーションに関する注意事項

対象マシンまたはユーザーでPEM秘密鍵認証情報をローテーションする場合、Keeperはマシン上の authorized_keys ファイルを新しい公開鍵で更新します。初回ローテーション時は、システムのロックアウトを防ぐため、古い公開鍵はそのまま残されます。ファイルに追加される2番目の公開鍵には、以降のローテーションの識別子として機能するコメントが付きます。例:

デフォルトでは、Keeperは .ssh/authorized_keys ファイルから他のキーを削除しません。一部のプロバイダが仮想マシンを制御するために独自のキーを配置するためです (Google Cloud Providerなど)。

初回ローテーションが成功したら、必要に応じて authorized_keys ファイル内の古い公開鍵エントリを削除できます。以降のローテーションでは、keeper-security-xxx というコメントを含む行が更新されます。

ローテーション時には、以前の .ssh/authorized_keys のバックアップも .ssh ディレクトリ内に作成されます。

プライベートキーのローテーションでは、新しいプライベートキーは現在のプライベートキーと同じアルゴリズムおよびキーサイズ (ビット) になります。たとえば、現在のプライベートキーが ecdsa-sha2-nistp256 の場合、新しいプライベートキーも ecdsa-sha2-nistp256 になります。これを上書きするには、ラベル Private Key Type のカスタムテキストフィールドを追加し、以下のいずれかの値を設定します。

  • ssh-rsa - 4096ビット

  • ecdsa-sha2-nistp256 - ECDSA、256ビット

  • ecdsa-sha2-nistp384 - ECDSA、384ビット

  • ecdsa-sha2-nistp521 - ECDSA、521ビット

  • ssh-ed25519

現在のプライベートキーのアルゴリズムを検出できない場合にも、このカスタムフィールドを使用できます。

プライベートキーのローテーションを防ぐには、ラベル Private Key Rotate のカスタムテキストフィールドをPAMユーザーレコードに追加します。フィールドの値が TRUE、またはフィールドが存在しない場合は、プライベートキーが存在すればローテーションされます。値が FALSE の場合、プライベートキーはローテーションされません。

Linuxユーザーのローテーションでは、パスワードで暗号化されたPEMファイルは現在利用できません。

管理者認証情報 (SSHキーのみのアカウント)

マシンリソースの管理者認証情報として、パスワードを持たずPEM秘密鍵のみのPAMユーザーを構成する場合、このユーザーがパスワードローテーションなどのすべての管理操作を実行します。この構成では、管理者アカウントがパスワードの入力なしに sudo 操作を実行できる必要があります。

sudo コマンドの実行時にパスワードが求められる場合、管理者認証情報にパスワードが含まれないため、そのリソース上の非管理者アカウントのローテーションは失敗します。ローテーションを正常に行うには、PEM鍵のみの管理者アカウントが、パスワードなしで sudo コマンドを実行できるように設定してください。

最終更新