Planejando credenciais de segurança para acessar computadores UNIX e Linux
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que você atualize para o Operations Manager 2022.
Este artigo descreve as credenciais necessárias para instalar, manter, atualizar e desinstalar agentes em um computador UNIX ou Linux.
No Operations Manager, o servidor de gerenciamento usa dois protocolos para se comunicar com computadores UNIX ou Linux:
SSH (Secure Shell) e SFTP (Protocolo de Transferência de Arquivos do Secure Shell)
- Usado para instalar, atualizar e remover agentes.
Serviços Web para Gerenciamento (WS-Management)
- Usado para todas as operações de monitoramento e para incluir a descoberta de agentes que já foram instalados.
O protocolo usado varia conforme a ação ou informação solicitada ao servidor de gerenciamento. Todas as ações, como manutenção, monitores, regras, tarefas e recuperações do agente, estão configuradas para usar perfis predefinidos conforme suas exigências em termos de conta privilegiada ou sem privilégios.
No Operations Manager, o administrador do sistema não precisa mais fornecer a senha raiz do computador UNIX ou Linux ao servidor de gerenciamento. Agora, por elevação, uma conta sem privilégios pode assumir a identidade de uma conta privilegiada no computador UNIX ou Linux. O processo de elevação é realizado pelos programas su (superusuário) e sudo do UNIX que usam as credenciais fornecidas pelo servidor de gerenciamento. Para operações privilegiadas de manutenção de agente que usem SSH (como descoberta, implantação, atualização, desinstalação e recuperação de agente), oferece-se suporte a su, elevação sudo e suporte à autenticação de chave de SSH (com ou sem senha). Para operações privilegiadas de WS-Management (como exibir arquivos de log seguros), adiciona-se o suporte a elevação sudo (sem senha).
Credenciais para instalar agentes
O Operations Manager usa o protocolo SSH para instalar um agente e Serviços Web para Gerenciamento (WS-Management) para descobrir os agentes instalados anteriormente. A instalação requer uma conta com privilégios no computador UNIX ou Linux. Há duas maneiras de fornecer credenciais para o computador de destino, conforme obtidas pelo Assistente para Gerenciamento de Computadores e Dispositivos:
Especifique um nome de usuário e uma senha.
O protocolo SSH utilizará a senha para instalar um agente ou o protocolo WS-Management, se o agente já tiver sido instalado com o uso de um certificado assinado.
Especifique um nome de usuário e uma chave SSH. A chave pode incluir uma senha opcional.
Se você não estiver usando as credenciais de uma conta privilegiada, poderá fornecer credenciais adicionais para que sua conta se torne uma conta privilegiada por meio da elevação de privilégio no computador UNIX ou Linux.
A instalação não será concluída até que o agente seja verificado. A verificação do agente é executada pelo protocolo WS-Management que usa credenciais mantidas no servidor de gerenciamento, separadas da conta com privilégios usada para instalar o agente. Você precisará fornecer um nome de usuário e uma senha para verificação do agente se tiver feito um dos seguintes procedimentos:
Indicado uma conta com privilégios usando uma chave.
Indicado uma conta sem privilégios a ser elevada com o uso do sudo com uma chave.
Execute o assistente com o Tipo de Descoberta definido como Descobrir apenas computadores com o agente UNIX/Linux instalado.
Se desejar, você poderá instalar o agente, incluindo seu certificado, de modo manual no computador UNIX ou Linux e depois descobrir esse computador. Essa é a maneira mais segura de instalar agentes. Para obter mais informações, consulte Instalar agente e certificado em computadores UNIX e Linux usando a linha de comando.
Credenciais para monitorar operações e executar a manutenção do agente
O Operations Manager contém três perfis predefinidos a serem usados para monitorar computadores UNIX e Linux e executar a manutenção do agente:
Conta de ação UNIX/Linux
Esse é um perfil de conta sem privilégios, necessário para o monitoramento da integridade básica e do desempenho.
Conta com privilégios UNIX/Linux
Esse é um perfil de conta com privilégios, usado para monitorar os recursos protegidos, como arquivos de log.
Conta de manutenção UNIX/Linux
Esse perfil é usado para operações de manutenção privilegiadas, como atualizar e remover agentes.
Nos pacotes de gerenciamento UNIX e Linux, todas as regras, monitores, tarefas, recuperações e outros elementos são configurados para usar esses perfis. Portanto, não há nenhum requisito para definir perfis adicionais usando o Assistente de Perfis Executar como, a menos que circunstâncias especiais o ditem. Os perfis não são cumulativos no escopo. Por exemplo, o perfil da conta de manutenção UNIX/Linux não pode ser usado no lugar dos outros perfis simplesmente porque ele está configurado usando uma conta privilegiada.
No Operations Manager, um perfil não pode funcionar até que esteja associado a pelo menos uma conta Executar como. As credenciais para acessar os computadores UNIX ou Linux são configuradas nas contas Executar como. Como não há contas Executar como predefinidas para monitoramento do UNIX e do Linux, você deve criá-las.
Para criar uma conta Executar como, você deve executar o Assistente para Criação de Conta Executar como do UNIX/Linux disponível quando a opção Contas UNIX/Linux está selecionada no workspace Administração. O assistente cria uma conta Executar como com base na escolha de um tipo de conta Executar como. Há dois tipos de conta Executar como:
Conta de monitoramento
Use essa conta para o monitoramento contínuo da integridade e do desempenho em operações que se comunicam utilizando o WS-Management.
Conta de manutenção do agente
Use essa conta para manutenção do agente, como atualização e desinstalação em operações que se comunicam com o uso de SSH.
Esses tipos de conta Executar como podem ser configurados para diferentes níveis de acesso, de acordo com as credenciais fornecidas. As credenciais podem ser contas com ou sem privilégios ou contas sem privilégios que serão elevadas para contas com privilégios. A tabela a seguir mostra as relações entre os perfis, as contas Executar como e os níveis de acesso.
| Perfis | Tipo de conta Executar como | Níveis de acesso permitidos |
|---|---|---|
| Conta de ação UNIX/Linux | Conta de monitoramento | – Sem privilégios – Com privilégios – Sem privilégios, elevada a com privilégios |
| Conta com privilégios UNIX/Linux | Conta de monitoramento | – Com privilégios – Sem privilégios, elevada a com privilégios |
| Conta de manutenção UNIX/Linux | Conta de manutenção do agente | – Com privilégios – Sem privilégios, elevada a com privilégios |
Observação
Há três perfis, mas apenas dois tipos de Conta Executar como.
Ao especificar um Tipo de Conta Executar como de Monitoramento, você deve especificar um nome de usuário e uma senha a serem utilizados pelo protocolo WS-Management. Quando especifica um Tipo de Conta Executar como de Manutenção do Agente, você deve especificar o modo como as credenciais são fornecidas ao computador de destino usando o protocolo SSH:
Especifique um nome de usuário e uma senha.
Especifique um nome de usuário e uma chave. Você pode incluir uma senha opcional.
Após a criação de contas Executar como, você deve editar os perfis UNIX e Linux para associá-los às contas desse tipo criadas. Para obter instruções detalhadas, consulte Como configurar contas e perfis Executar como para acesso no UNIX e Linux
Considerações importantes sobre segurança
O agente Linux/UNIX do Operations Manager usa o mecanismo de PAM (Módulo de Autenticação Conectável) padrão no computador Linux ou UNIX para autenticar o nome de usuário e senha especificados no Perfil de Ação e no Perfil de Privilégio. Todos os nomes de usuário com uma senha que o PAM autenticar poderão executar funções de monitoramentos, incluindo a execução de linhas de comando e scripts que coletam dados de monitoramento. Essas funções de monitoramento são sempre executadas no contexto desse nome de usuário (a menos que a elevação sudo esteja explicitamente habilitada para esse nome de usuário), portanto, o agente do Operations Manager não fornece mais capacidade do que se o nome de usuário fosse entrar no sistema Linux/UNIX.
No entanto, a autenticação pam usada pelo agente do Operations Manager não exige que o nome de usuário tenha um shell interativo associado a ele. Se as práticas de gerenciamento de conta do Linux/UNIX incluírem a remoção do shell interativo como uma maneira de pseudoabilitar uma conta, essa remoção não impedirá que a conta seja usada para se conectar ao agente do Operations Manager e executar funções de monitoramento. Nesses casos, você deve usar a configuração do PAM adicional para garantir que essas contas pseudoabilitadas não se autentiquem no agente do Operations Manager.
Credenciais para atualização e desinstalação de agentes
O Assistente para Atualização do Agente do UNIX/Linux e o Assistente para Desinstalação do Agente do UNIX/Linux fornecem credenciais para os computadores de destino. Primeiro, os assistentes solicitam que você selecione os computadores de destino para atualização ou desinstalação, em seguida, é necessário informar as opções relacionadas ao modo como as credenciais devem ser fornecidas ao computador de destino:
Usar contas Executar como associadas existentes
Selecione essa opção para usar as credenciais associadas ao perfil de conta de ação UNIX/Linux e ao perfil de conta de manutenção UNIX/Linux.
O assistente alertará você se um ou mais dos computadores selecionados não tiverem uma conta Executar como associada nos perfis necessários. Nesse caso, você deverá voltar e limpar os computadores que não têm uma conta Executar como associada ou especificar credenciais.
Especificar credenciais
Selecione essa opção para especificar as credenciais de SSH utilizando um nome de usuário e uma senha ou um nome de usuário e uma chave. Opcionalmente, você pode fornecer uma senha com uma chave. Se as credenciais não forem para uma conta privilegiada, você poderá tê-las elevadas a uma conta privilegiada no computador de destino usando os programas unix su ou sudo elevation. A elevação 'su' requer uma senha. Se você usar a elevação do sudo, será solicitado que você solicite um nome de usuário e uma senha para verificação do agente usando uma conta sem privilégios.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de