Linux Host Datenquelle
Der Linux Host Datenquellen-Collector erkennt Benutzerkonten, Gruppen, SSH-Schlüssel und Anmeldeereignisse auf Linux-Systemen und -Servern. Dies ermöglicht Organisationen, alle lokalen und Servicekonten auf der Linux-Infrastruktur zu identifizieren, die SSH-Schlüsselverwendung zu verfolgen, unautorisierte Zugriffsmuster zu erkennen und das Privileged Access Management für Linux-Server zu unterstützen.
Berechtigungen
Um Identitätsdaten vom Linux Host zu sammeln, muss ein Benutzer- oder Servicekonto mit sudo-Zugriff erstellt werden.
NOTE
Das Konto selbst muss in der Lage sein, sich über SSH zu verbinden und den Inhalt von /etc/passwd zu lesen. SSH-öffentliche Schlüssel erfordern, dass das Konto sich anmelden und sudo ohne Passwortabfrage ausführen kann.
Verwendung von Shell-Wrappern
Die folgenden Befehle müssen in sudo für den Zielbenutzer oder das Servicekonto aktiviert sein, wenn die Konfiguration Elevate with Sudo der Datenquelle nicht aktiviert werden soll. Shell-Wrapper reduzieren die Anzahl der ausgeführten Befehle.
| Sudo-Befehl in Shell einwickeln | Befehle |
|---|---|
| True | /bin/sh -c * |
| False | /usr/bin/lastlog |
/usr/bin/chage * | |
/usr/bin/getent shadow | |
/usr/sbin/sshd * | |
/usr/bin/cat * | |
/usr/bin/stat * | |
/usr/bin/ssh-keygen * | |
/usr/bin/test * | |
/usr/bin/gzip * | |
/usr/bin/ls * | |
/usr/bin/grep * | |
/usr/bin/find * | |
/usr/bin/file * |
Einrichtung der Linux Host Datenquelle
Die folgenden Schritte führen Sie durch die notwendigen Schritte.
Melden Sie sich bei Ihrem Hydden-Mandanten an.
Um auf die Datenquellenseite zuzugreifen, navigieren Sie zu Configuration > Discover und wählen Sie Data Sources oder verwenden Sie die Datenquellen-URL:
https://portal.hydden.com/configuration/datasource.Um die Linux Host Datenquelle hinzuzufügen, klicken Sie auf + Add Data Source.
Wählen Sie im Konfigurationsassistenten die Linux Host-Logo-Kachel aus.
Geben Sie unter Name einen leicht identifizierbaren Namen ein, besonders wenn mehrere Datenquellen für denselben Dienst erstellt werden sollen.
Das optionale Feld Preset können Sie ignorieren. Wenn vorkonfigurierte Datenquellen-Voreinstellungen zur Auswahl im Drop-down verfügbar sind, können diese auch manuell über + hinzugefügt werden. Erstellen Sie eine Datenquellen-Voreinstellung für den Massenimport einer Serverliste.
Geben Sie unter Hostname Ihre Linux Host Verbindungs-URL ein, beispielsweise eine IP-Adresse.
Wenn Sie bereits eine Anmeldeinformation erstellt haben, wählen Sie diese aus dem Credential-Drop-down aus. Falls Sie noch keine Anmeldeinformation erstellt haben, klicken Sie auf +, um eine Account Credential für Ihre Linux Host Instanz hinzuzufügen.
Das optionale Feld Schedule können Sie ignorieren. Um einen Schedule anzugeben, wählen Sie entweder aus der Liste vorkonfigurierter Erfassungszeitpläne oder geben Sie manuell einen neuen Zeitplan über + ein.
Geben Sie unter Site, einem optionalen Feld, den Standort an, an dem Ihr Client installiert ist. Er kann auch "default" sein, wenn es nur einen Client für Ihre Organisation gibt.
Aktivieren Sie das Kontrollkästchen Elevate with Sudo, um die Datenerfassung immer mit sudo-Berechtigungen auszuführen.
Falls nicht aktiviert, lesen Sie die Informationen zur Verwendung von Shell-Wrappern unter Berechtigungen oben.
Aktivieren Sie das Kontrollkästchen Use Sudo Shell, wenn Ihre Umgebung das Starten einer sudo-Shell für Privilegieerhöhungsbefehle erfordert.
Custom Properties ist ein optionales Feld. Wenn es für Ihre Organisation benötigt wird, geben Sie spezifische
key=value-Paare ein, beispielsweise environment=production.Klicken Sie auf Add, um die Datenquelle zu speichern. Sie haben die Möglichkeit, die Datenerfassung manuell über die Schaltfläche Run Now auszuführen.
NOTE
Wenn benutzerdefinierte Zuordnungsregeln erforderlich sind, lesen Sie den Abschnitt Erweiterte Konfiguration im Thema Datenquellen-Übersicht.
An diesem Punkt können Sie eine Erfassung von der Datenquellenseite aus ausführen und kurz darauf werden Ihre Linux Host Benutzer auf dem Identity Posture Dashboard, in der Globalen Suche und der Suchbibliothek angezeigt.
Methoden zur Privilegieerhöhung
Der Linux Host Collector unterstützt mehrere Methoden zur Privilegieerhöhung, um verschiedene Linux-Konfigurationen und Sicherheitsrichtlinien in Unternehmen zu berücksichtigen.
Standard Sudo
Die gebräuchlichste Methode zur Privilegieerhöhung. Der Collector führt Befehle mit vorangestelltem sudo aus, um die notwendigen Berechtigungen zu erhalten.
Konfiguration:
- Aktivieren Sie das Kontrollkästchen Elevate with Sudo in der Datenquellenkonfiguration
- Stellen Sie sicher, dass das Servicekonto passwortlosen sudo-Zugriff hat
- Konfigurieren Sie die sudoers-Datei mit den erforderlichen Befehlen (siehe Verwendung von Shell-Wrappern)
Beispiel sudoers-Eintrag:
hydden_collector ALL=(ALL) NOPASSWD: /bin/sh -c *dzdo (Centrify/Delinea)
Für Umgebungen, die Centrify DirectControl oder Delinea Server Suite verwenden, unterstützt der Collector dzdo als Alternative zum Standard-sudo.
Was ist dzdo?
dzdo ist Centrifys Implementierung der Privilegieerhöhung, die in Active Directory für zentralisierte Zugriffskontrolle und Auditierung integriert ist. Es bietet die gleiche Funktionalität wie sudo, jedoch mit Audit-Protokollierung und Richtlinienverwaltung auf Unternehmensebene.
Konfiguration:
Der Collector erkennt und verwendet dzdo automatisch, wenn:
- Der Befehl
dzdoauf dem Zielsystem verfügbar ist - Das Servicekonto dzdo-Berechtigungen in Centrify/Delinea-Richtlinien konfiguriert hat
- Standard-sudo nicht verfügbar oder nicht konfiguriert ist
Keine manuelle Konfiguration erforderlich — der Collector versucht dzdo, wenn die sudo-Erhöhung fehlschlägt.
TIP
Um zu überprüfen, ob dzdo funktioniert, prüfen Sie die Erfassungsprotokolle auf die Meldung "Using dzdo for privilege elevation".
Sudo Shell-Modus
Einige Linux-Umgebungen erfordern, dass Befehle innerhalb einer sudo-gestarteten Shell ausgeführt werden, anstatt als einzelne sudo-Befehlsaufrufe.
Wann Sudo Shell verwendet werden sollte:
- PAM-Konfigurationen, die Sitzungsanforderungen erzwingen
- Systeme mit komplexen sudoers-Regeln, die nicht mit Befehlszeilen-sudo funktionieren
- Umgebungen, in denen die Audit-Protokollierung persistente sudo-Sitzungen erfordert
Konfiguration:
- Aktivieren Sie das Kontrollkästchen Elevate with Sudo
- Aktivieren Sie das Kontrollkästchen Use Sudo Shell
- Stellen Sie sicher, dass das Servicekonto ausführen kann:
sudo /bin/sh
Funktionsweise:
Anstatt sudo command für jede Operation auszuführen, führt der Collector:
- Eine sudo-Shell aus:
sudo /bin/sh - Alle Befehle innerhalb dieser Shell-Sitzung aus
- Schließt die Shell, wenn die Erfassung abgeschlossen ist
NOTE
Der Sudo Shell-Modus kann auf gehärteten Linux-Systemen oder bei Verwendung komplexer PAM-Modul-Konfigurationen erforderlich sein.
Fehlerbehebung bei der Privilegieerhöhung
| Problem | Ursache | Lösung |
|---|---|---|
| Fehler "sudo: no tty present" | Sudo erfordert ein interaktives Terminal | Defaults:hydden_collector !requiretty zu sudoers hinzufügen |
| "dzdo: command not found" | Centrify nicht installiert | Standard-sudo verwenden oder Centrify DirectControl installieren |
| Befehle schlagen mit Zugriff verweigert fehl | Unzureichende sudo-Berechtigungen | sudoers-Konfiguration überprüfen, ob erforderliche Befehle enthalten sind |
| Sudo fragt nach Passwort | Passwortloses sudo nicht konfiguriert | NOPASSWD zum sudoers-Eintrag hinzufügen |
| Erfassung hängt bei Privilegieerhöhung | Sudo wartet auf Passwort | NOPASSWD aktivieren oder TTY-Anforderung überprüfen |