UNIX 和 Linux 帳戶的必要功能
重要
此版本的 Operations Manager 已終止支援。 建議您 升級至 Operations Manager 2022。
存取 System Center - Operations Manager 中的 UNIX 和 Linux 計算機會使用三個執行身分設定檔。 其中一個設定檔與無特殊權限帳戶相關聯,而其他兩個設定檔則與特殊權限帳戶或使用 sudo 或 su提高權限的無特殊權限帳戶相關聯。
在最簡單的情況下,特殊權限帳戶具有與 UNIX 和 Linux 根帳號相當的功能,而無特殊權限帳戶則具有與一般使用者帳戶相當的功能。 不過,在使用 UNIX 和 Linux 某些電腦版本的情況下,以及當您使用 sudo 提高權限時,可以指派更多特定功能給帳戶。
下表列出指派給三個執行身分配置檔之帳戶所需的特定功能。 這些描述是泛型的,因為確切文件系統路徑等資訊可能會因不同的 UNIX 和 Linux 電腦版本而有所不同。
注意
下表說明帳戶與受管理 UNIX 或 Linux 電腦上的 Operations Manager 代理程式通訊所需的功能,但代理程式本身必須一律在 UNIX 或 Linux 電腦上的 root 帳號底下執行。
| UNIX 和 Linux 設定檔 | 必要功能 |
|---|---|
| 動作設定檔 | - 將 UNIX 或 Linux 電腦登入插入式驗證模組 (PAM) 驗證的網路。 必須能夠執行背景殼層 (未連線到 TTY)。 不需要互動式登錄。 - 讀取建立自訂記錄檔監視時指定為無特殊權限的任何記錄檔,再加上能夠執行 /opt/microsoft/scx/bin/scxlogfilereader。 - 若要在建立命令行監視器、規則或工作時,完整執行指定為未指定許可權的任何命令殼層命令。 - 執行 /usr/bin/vmstat 以執行 VMStat 工作。 |
| 特殊權限設定檔 | - 將 UNIX 或 Linux 電腦登入 PAM 驗證的網路。 必須能夠執行背景殼層 (未連線到 TTY)。 不需要互動式登錄。 在使用 提高 sudo許可權的帳戶的情況下,此需求會套用至帳戶,再提高許可權。 - 若要在建立命令行監視器、規則或探索時,完整執行指定為特殊許可權的任何殼層命令行。 - 具有下列記錄檔監視功能:- 讀取要監視的記錄檔。 根據預設,Syslog 之類的記錄檔會設定為只能由根目錄讀取,而指派給此配置檔的帳戶可以讀取這些檔案。 您可以變更記錄檔許可權,以授與安全群組的讀取許可權,以及讓帳戶成為該群組的成員,而不是授與帳戶的完整根許可權。 如果記錄檔會定期輪替,您必須確定輪替程式會維護群組許可權。 - 讀取建立自訂記錄檔監視時指定為特殊權限的任何記錄檔。 - 執行 /opt/microsoft/sc/bin/scxlogfilereader。 - 執行工作、復原和診斷。 只有在 Operations Manager 操作員明確決定執行以上工作時,才必須符合這些需求。 - 許多復原包含停止和重新啟動服務精靈處理序。 這些復原需要能夠執行服務控制介面,例如 /et/init.d for Linux,以及 Svcadm for Solaris 停止並重新啟動它。 這類服務控制介面通常需要能夠對服務精靈處理序執行 kill 命令,以及執行其他基本 UNIX 和 Linux 命令。 - 其他工作、復原和診斷的需求則會視該特定動作的詳細資料而定。 |
| 代理程式維護設定檔,以及用來安裝代理程式以進行初始監視的帳戶。 | - 使用安全殼層 (SSH) 將 UNIX 或 Linux 電腦登入 PAM 驗證的網路。 必須能夠執行背景殼層 (未連線到 TTY)。 不需要互動式登錄。 在使用 提高 sudo許可權的帳戶的情況下,此需求會套用至帳戶,再提高許可權。 - 執行系統套件安裝程式 (例如 Linux 上的 rpm),以安裝 Operations Manager 代理程式。 - 若要讀取和寫入下列目錄,並在它們不存在時建立這些目錄及其下的任何子目錄:- /選擇 - /opt/microsoft - /opt/microsoft/scx - /etc/opt/microsoft/scx - /var/opt/microsoft/scx - /opt/omi - /etc/opt/omi - /var/opt/omi - 針對執行中的 Operations Manager 代理程式進程執行 kill 命令。 - 啟動 Operations Manager 代理程式。 - 使用平台工具新增和移除系統服務精靈,包括 Operations Manager 代理程式。 - 執行基本的 UNIX 和 Linux 命令,例如 cat、ls、pwd、cp、mv、rm、gzip (或功能相當的命令)。 |
重要安全性考量
Operations Manager Linux/UNIX 代理程式會使用 Linux 或 UNIX 電腦上的標準 PAM (插入式驗證模組) 機制,來驗證動作設定檔和許可權配置檔中指定的使用者名稱和密碼。 任何具備經 PAM 驗證之密碼的使用者名稱,皆能執行監視功能,包括執行收集監視資料的命令列和指令碼。 除非明確為該使用者名稱啟用sudo提高許可權,否則這類監視函式一律會在該使用者名稱的內容中執行。 因此,Operations Manager 代理程式所提供的功能,比用戶名稱登入 Linux/UNIX 系統還多。
不過,Operations Manager 代理程式所使用的 PAM 驗證不需要使用者名稱具有與其相關聯的互動式殼層。 如果您的 Linux/UNIX 帳戶管理做法包括移除互動式殼層作為虛擬停用帳戶的方式,這類移除不會防止帳戶用來連線到 Operations Manager 代理程式並執行監視功能。 在這些情況下,請使用其他 PAM 設定來確保這些虛擬停用的帳戶不會向 Operations Manager 代理程式進行驗證。
下一步
若要瞭解如何驗證及監視 UNIX 和 Linux 計算機,請檢閱 您必須具備才能存取 UNIX 和 Linux 計算機的認證。
若要瞭解如何提高非特殊許可權帳戶以有效監視 UNIX 和 Linux 計算機,請檢閱 如何設定 sudo 提高許可權和 SSH 密鑰。
如果您需要重新設定 Operations Manager 使用不同的加密,請檢閱 設定 SSL 加密。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應