SSH 자격 증명
디스커버리, 오케스트레이션 및 통합 허브 탐색 UNIX 및 Linux 장치와 SSH 자격 증명을 사용하여 SSH(Secure Shell)를 통해 명령을 실행합니다. SSH 명령은 루트 자격 증명 또는 sudo 사용을 통해 루트 권한으로 실행되어야 합니다. SSH 개인 키 자격 증명은 추가 보안을 제공합니다.
루트 권한 부여
루트 권한을 부여하기 전에 조직의 보안 팀과 함께 보안 정책 및 옵션을 검토하십시오.
다음 방법 중 하나를 사용하여 사용자가 루트 권한으로 SSH 명령을 실행할 수 있도록 합니다.
- , 오케스트레이션 또는 통합 허브에 대한 디스커버리다른 자격 증명을 제공하되 해당 자격 증명의 사용자에게 sudo를 사용하여 루트 권한으로 특정 명령을 실행할 수 있는 권한을 부여하십시오. 이것은 제한된 권한을 부여하는 안전한 방법입니다. 디스커버리, 오케스트레이션 또는 통합 허브
must_sudo매개변수가 예 (기본값은 아니오)로 설정된 프로브에서 sudo를 사용합니다. 그러나 sudo가 작동할 수 있도록 각 시스템을 구성해야 합니다. visudo 명령을 사용하여 /etc/sudoers 파일을 편집하면 됩니다. - 루트 자격 증명을 제공하십시오. 이는 분명히 가장 강력한 자격 증명이지만 보안 관점에서 바람직하지 않을 수 있습니다. , 오케스트레이션 통합 허브 또는 시스템에 대한 LinuxUNIX 루트 자격 증명이 있는 경우 디스커버리추가 구성이 필요하지 않습니다.
권한 있는 명령
플랫폼은 MID 서버에서 사용할 수 있는 기본적인 권한 있는 명령과 시스템에 명령을 추가하는 기능을 제공합니다. sudo 및 기타 권한 있는 명령 사용에 대한 자세한 내용은 MID 서버 권한 있는 명령을 참조하십시오.
SSH 개인 키 자격 증명 유형
주:
대부분의 경우 SSH 개인 키 자격 증명을 사용해야 합니다. 두 당사자 간의 통신을 가로채는 MitM(중간자) 공격을 포함하여 SSH 암호 자격 증명보다 더 나은 보안을 제공합니다.
| 필드 | 입력 값 |
|---|---|
| 이름 | 이 자격 증명에 대한 고유하고 설명적인 이름입니다. 예를 들어 SSH 애틀랜타라고 부를 수 있습니다. |
| 활성 | 사용하는 자격 증명을 활성화하거나 비활성화하십시오. |
| 사용자 이름 | UNIX 또는 Linux 사용자 이름을 입력합니다. 사용자 이름에 선행 또는 후행 공백을 넣지 않도록 합니다. 플랫폼이 사용자 이름에서 선행 또는 후행 공백을 탐지하면 경고가 표시됩니다. |
| 암호 | UNIX 또는 Linux 암호를 입력합니다. SSH 개인 키 유형 자격 증명의 경우 사용자 이름에 sudo 암호가 필요한 경우 이를 입력합니다. |
| SSH 암호 구문 | 보안 SSH 암호를 입력합니다. 이 필드는 SSH 개인 키 자격 증명에만 사용할 수 있습니다. |
| SSH 개인 키 | 안전한 RSA, DSA, ECDSA 또는 ED25519 개인 키를 입력합니다. 개인 키는 올바르게 암호화되도록 적절한 형식으로 입력해야 합니다. 개인 키는 다음은 올바른 형식의 RSA 개인 키의 예입니다. DSA 키의 예: ECDSA 키의 예: 그리고 ED25519 개인 키의 예: 주: ED25519 개인 키의 경우 OpenSSH SSH-keygen 유틸리티를 사용하여 생성되는 OpenSSH 키 형식만 지원됩니다. 에서는 ServiceNow AI Platform OpenSSH ssh-keygen 유틸리티에서 생성된 PEM 형식의 개인 키를 지원합니다. PuTTY에서 생성된 PPK 키를 변환하려면 다음을 수행합니다.
|
| SSH 인증서 | RSA 또는 ED25519 기반 OpenSSH 인증서를 입력합니다. 인증서를 입력하면 인증서 기반 인증에 개인 키가 사용됩니다. 이 인증은 OpenSSH 7.8 이상에서 지원됩니다. |
| 자격 증명 별칭 |
|
| 외부 자격 증명 스토어 | 외부 자격 증명 스토리지 시스템을 사용하려면 이 확인란을 선택합니다. 이 옵션을 선택하면 사용자 이름 및 암호 필드가 자격 증명 ID 필드로 바뀝니다. 현재 유일하게 지원되는 외부 저장소 시스템은 CyberArk입니다. |
| MID 서버 | 사용 가능한 MID 서버 목록에서 MID 서버를 하나 이상 선택합니다. 이 레코드에 구성된 자격 증명은 이 목록의 MID Server에서 사용할 수 있습니다. 이 필드는 적용 대상 필드에서 특정 MID 서버를 선택할 때만 사용할 수 있습니다. |
| 적용 대상 | 이러한 자격 증명을 네트워크의 모든 MID 서버 또는 하나 이상의 특정 MID 서버에 적용할지 선택하십시오. MID 서버 필드에서 이러한 자격 증명을 사용해야 하는 MID 서버를 지정합니다. |
| 순서 | 플랫폼에서 장치에 로그인하려고 할 때 이 자격 증명을 시도하는 순서(시퀀스)입니다. 숫자가 작을수록 이 자격 증명이 목록에서 더 위에 나타납니다. 많은 수의 자격 증명을 사용하거나 로그인 시도가 3회 실패하여 보안상 사용자가 잠기는 경우 자격 증명 순서를 설정하십시오. 모든 자격 증명의 순서 번호가 같거나 없으면 검색 또는 오케스트레이션에서 임의의 순서로 자격 증명을 시도합니다. |
SSH 자격 증명 유형
이러한 필드는 SSH 자격 증명 양식에서 사용할 수 있습니다.
| 필드 | 설명 |
|---|---|
| 이름 | 이 자격 증명을 설명하는 고유한 이름을 입력합니다. |
| 활성 | 사용하는 자격 증명을 활성화하거나 비활성화하십시오. |
| 사용자 이름 | 자격 증명 테이블에 생성할 사용자 이름을 입력합니다. 사용자 이름에 선행 또는 후행 공백을 넣지 않도록 합니다. 플랫폼이 사용자 이름에서 선행 또는 후행 공백을 탐지하면 경고가 표시됩니다. CIM 검색의 경우 사용자에게 관리자 역할이 있어야 합니다. |
| 암호 | 암호를 입력합니다. |
| 자격 증명 ID | 외부 자격 증명 시스템용 MID 서버로 업로드된 JAR 파일의 외부 자격 증명에 대해 구성된 고유 키를 입력합니다. 자격 증명 ID 필드는 40자로 제한됩니다. 이 필드는 외부 자격 증명 스토어 확인란을 선택한 경우에만 표시됩니다. |
| 자격 증명 별칭 |
|
| 외부 자격 증명 스토어 | 외부 자격 증명 스토리지 시스템을 사용하려면 이 확인란을 선택합니다. 이 옵션을 선택하면 사용자 이름 및 암호 필드가 자격 증명 ID 필드로 바뀝니다. 외부 자격 증명 스토리지 는 외부 자격 증명 스토리지 플러그인이 활성화된 경우에만 사용할 수 있습니다. 주: 현재 유일하게 지원되는 외부 저장소 시스템은 CyberArk입니다. |
| 적용 대상 | 이러한 자격 증명을 네트워크의 모든 MID 서버 또는 하나 이상의 특정 MID 서버에 적용할지 선택하십시오. MID 서버 필드에서 이러한 자격 증명을 사용해야 하는 항목을 MID 서버 지정합니다. |
| MID 서버 | 사용 가능한 MID 서버 목록에서 MID 서버를 하나 이상 선택합니다. 이 레코드에 구성된 자격 증명은 이 목록의 MID Server에서 사용할 수 있습니다. 이 필드는 적용 대상 필드에서 특정 MID 서버를 선택할 때만 사용할 수 있습니다. |
| 순서 | 장치에 로그온하려고 할 때 이 자격 증명을 시도하는 순서(시퀀스) 디스커버리 입니다. 숫자가 작을수록 이 자격 증명이 목록에서 더 위에 나타납니다. 많은 수의 자격 증명을 사용하거나 로그인 시도가 3회 실패하여 보안상 사용자가 잠기는 경우 자격 증명 순서를 설정하십시오. 모든 자격 증명의 순서 번호가 같거나 없으면 인스턴스에서 임의의 순서로 자격 증명을 시도합니다. |
검색, 오케스트레이션 및 Orchestration에 대한 루트 권한이 필요한 명령 통합 허브
이 예시에서는 사용자 이름을 Disco로 가정합니다. 실제 사용자 이름을 대체하고 명령의 경로가 시스템의 경로와 일치하는지 확인합니다.
주:
sudo 명령에 제공할 암호가 없기 때문에 Sudo 명령은 개인 키 자격 증명과 함께 사용할 수 없습니다. 해결 방법은 sudo 구성에 NOPASSWD 옵션을 추가하는 것입니다. 예를 들어
disco ALL = (root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig를 입력할 수 있습니다.| 명령 | 목적 |
|---|---|
| HP-UX | |
| 광고 | CPU 속도와 메모리를 수집합니다.
|
| 모든 Linux 및 UNIX 버전 | |
| 변경 | 암호 변경 간격과 마지막 암호 변경 날짜 사이의 일 수를 변경합니다.
|
| chpasswd | 사용자 암호를 변경합니다.
|
| 모든 Linux | |
| DMIDECODE | 마더보드에 내장된 일련 번호를 포함하여 하드웨어에 대한 여러 가지 정보를 수집합니다.
|
| fdisk | 시스템에서 디스크와 크기 정보를 수집합니다.
|
| 다중 경로 | MPIO에 대한 장치 매핑을 수집합니다.
|
| 엘스 | 디렉터리의 내용을 수집합니다.
|
| Linux 및 Solaris | |
| DMSETUP | 낮은 레벨의 볼륨을 검사합니다.
|
| 모든 UNIX 버전 | |
| lsof | 프로세스와 시스템 간의 연결 관계를 결정합니다.
|
| oratab | Oracle 홈 및 pfile을 찾기 위해 oratab 파일에 대한 읽기 권한을 부여합니다.
|
| Solaris | |
| ISCSIADM | ISCSI IQNs 가져오기
|
| FCINFO의 | 포트에 대한 WWPN을 가져옵니다.
|
| prtvtoc | 디스크 파티션에 대한 정보를 보고합니다.
|
| p파일 | TCP 연결 정보를 수집하는 데 사용됩니다.
|
| pgrep | pfiles를 실행할 특정 지역의 프로세스 ID를 나열하는 데 사용됩니다.
|
| /usr/bin/ps | 실행 중인 프로세스를 나열합니다. 루트 액세스를 실행하는 대신 proc_owner 역할을 추가합니다.
|
| /usr/ucb/ps | 실행 중인 프로세스를 나열합니다. 루트 액세스를 실행하는 대신 proc_owner 역할을 추가합니다. /usr/ucb/ps 명령은 Solaris 11부터 사용되지 않습니다. , 오케스트레이션, 모든 통합 허브 Solaris 버전에 대해 이 명령을 사용해야 하기 때문에 디스커버리Solaris 11 시스템에 ucb 유틸리티를 수동으로 설치해야 합니다. 지침은 KB0564262 문서를 참조하십시오.
|
검색 및 서비스 매핑에 필요한 권한 있는 명령 목록은 문서를 참조하십시오 Service Mapping commands requiring a privileged user. 이 목록에는 조직에서 Unix 기반 호스트를 검색하고 매핑하기 위해 높은 권한이 필요한 명령이 포함되어 있습니다.
루트가 아닌 자격 증명에 대한 액세스 요구 사항
루트 액세스 자격 증명을 제공 디스커버리 하지 않으면 다음 액세스 요구 사항이 있는 자격 증명을 제공해야 합니다.
| 애플리케이션 | 파일 또는 디렉터리 | 액세스 필수 |
|---|---|---|
| Apache | httpd.conf | 읽기 |
| Hbase | hbase-site.xml | 읽기 |
| JBoss | jboss-service.xml | 읽기 |
| JBoss 홈 디렉터리 | 읽기 | |
| web.xml | 읽기 | |
| MySQL | my.cnf | 읽기 |
| NGINX | nginx.conf | 읽기 |
| Oracle | oratab | 읽기 |
| 연결된 (s) pfiles | 읽기 | |
| Oracle 리스너 | lsnrctl | 실행 |
| listener.ora | 읽기 | |
| 톰캣 | catalina.jar | 읽기 |
| server.xml | 읽기 | |
| web.xml | 읽기 | |
| Unix | /etc/*release | 읽기 |
| /etc/bashrc | 읽기 | |
| /etc/프로필 | 읽기 | |
| /proc/cpuinfo | 읽기 | |
| /proc/vmware/sched/ncpus | 읽기 | |
| /var/log/dmesg | 읽기 | |
| APD 디렉터리 | 읽기 | |
| 웹스피어 | cell.xml | 읽기 |
| server.xml | 읽기 | |
| serverindex.xml | 읽기 |