Настройка повышенных прав доступа: различия между версиями

Материал из Dynatrace
(Новая страница: «По умолчанию управляемый кластер Dynatrace использует <code>sudo</code> для повышения разрешений дл...»)
 
 
(не показаны 2 промежуточные версии 1 участника)
Строка 6: Строка 6:
'''Примечание'''. Во всех примерах команд на этой странице предполагается следующее:
'''Примечание'''. Во всех примерах команд на этой странице предполагается следующее:


* <code>dynatrace</code> (по умолчанию) — это пользователь, который запускает все службы ОС Ключ-Астром.
* <code>astromkey</code>(по умолчанию) — это пользователь, который запускает все службы ОС Dynatrace.
* Ключ-Астром Managed установлен в <code>/opt/astromkey-managed/</code>
* Dynatrace Managed установлен в <code>/opt/astromkey-managed/</code>
* Данные расположены в директории <code>/var/opt/astromkey-managed/</code>
* Данные расположены в директории <code>/var/opt/astromkey-managed/</code>


Строка 13: Строка 13:


== Когда требуются повышенные разрешения ==
== Когда требуются повышенные разрешения ==
Пользователю ОС, запускающему управляемые службы Ключ-Астром, требуются повышенные разрешения для выполнения следующих задач:
Пользователю ОС, запускающему управляемые службы Dynatrace, требуются повышенные разрешения для выполнения следующих задач:


* Запуск сценария установки или перенастройки
* Запуск сценария установки или перенастройки
Строка 31: Строка 31:


== Исправление неполадок ==
== Исправление неполадок ==
Неправильно настроенные разрешения могут привести к различным проблемам, например, с Ключом-Астром Managed или сетью. Если есть проблема с разрешениями, вы увидите такие записи в журнале установки, как:
Неправильно настроенные разрешения могут привести к различным проблемам, например, с Dynatrace Managed или сетью. Если есть проблема с разрешениями, вы увидите такие записи в журнале установки, как:
  <code>sudo: pam_open_session: System error
  <code>sudo: pam_open_session: System error
  sudo: policy plugin failed session initialization</code>
  sudo: policy plugin failed session initialization</code>
Строка 41: Строка 41:
При устранении неполадок с sudo или повышенными разрешениями лучший подход — запустить всю конфигурацию сразу и сравнить. Под пользователем root все приведенные ниже команды должны генерировать вывод:
При устранении неполадок с sudo или повышенными разрешениями лучший подход — запустить всю конфигурацию сразу и сравнить. Под пользователем root все приведенные ниже команды должны генерировать вывод:
  <code>cat /etc/sudoers | grep -i include
  <code>cat /etc/sudoers | grep -i include
  cat /etc/sudoers.d/dynatrace
  cat /etc/sudoers.d/astromkey
   
   
  su - dynatrace -s /bin/bash -c 'sudo /opt/dtrun/dtrun iptables -L -n'
  su - astromkey-s /bin/bash -c 'sudo /opt/dtrun/dtrun iptables -L -n'
   
   
  cat /etc/sudoers | grep dynatrace
  cat /etc/sudoers | grep astromkey
  cat /etc/passwd | grep dynatrace
  cat /etc/passwd | grep astromkey
  cat /etc/shadow | grep dynatrace
  cat /etc/shadow | grep astromkey
   
   
  chage -l dynatrace</code>
  chage -l astromkey</code>
Команда <code>chage</code> сообщает вам, истекает ли срок действия пароля (это также может вызвать проблемы с доступом к <code>sudo</code>). Когда вы выполняете дополнительные проверки безопасности, чтобы контролировать, что разрешено выполнять <code>dtrun</code>, вы можете легко узнать, работает ли <code>sudo</code> должным образом, выполнив следующую команду от имени пользователя root:
Команда <code>chage</code> сообщает вам, истекает ли срок действия пароля (это также может вызвать проблемы с доступом к <code>sudo</code>). Когда вы выполняете дополнительные проверки безопасности, чтобы контролировать, что разрешено выполнять <code>dtrun</code>, вы можете легко узнать, работает ли <code>sudo</code> должным образом, выполнив следующую команду от имени пользователя root:
  <code>su - dynatrace -s /bin/bash -c 'sudo /opt/dtrun/dtrun service dynatrace-server status'</code>
  <code>su - astromkey -s /bin/bash -c 'sudo /opt/dtrun/dtrun service astromkey-server status'</code>
Следующая команда является примером проверки повышения разрешений с помощью альтернативы <code>sudo</code>, <code>pbrun</code>:
Следующая команда является примером проверки повышения разрешений с помощью альтернативы <code>sudo</code>, <code>pbrun</code>:
  <code>su - dynatrace -s /bin/bash -c 'pbrun /opt/dtrun/dtrun service dynatrace-server status'</code>
  <code>su - astromkey -s /bin/bash -c 'pbrun /opt/dtrun/dtrun service astromkey-server status'</code>

Текущая версия на 11:54, 26 января 2023

По умолчанию управляемый кластер Dynatrace использует sudo для повышения разрешений для определенных операций обслуживания, и вам не нужно выполнять какие-либо дополнительные действия при запуске установки с целью настройки пользователей, разрешений и служб. Однако, если sudo недоступен в вашей ОС или вам необходимо использовать альтернативную команду для повышения разрешений, вы должны указать их во время установки.

  • В интерактивном режиме, когда вас спросят о повышенных разрешениях, передайте префикс команды, включая программу, например pbrun, sesudo и suexec
  • В тихом режиме этот параметр можно указать через настраиваемую установку

Примечание. Во всех примерах команд на этой странице предполагается следующее:

  • astromkey(по умолчанию) — это пользователь, который запускает все службы ОС Dynatrace.
  • Dynatrace Managed установлен в /opt/astromkey-managed/
  • Данные расположены в директории /var/opt/astromkey-managed/

Если ваша конфигурация отличается, измените свои действия соответствующим образом.

Когда требуются повышенные разрешения

Пользователю ОС, запускающему управляемые службы Dynatrace, требуются повышенные разрешения для выполнения следующих задач:

  • Запуск сценария установки или перенастройки
  • Добавка или удаление ноду кластера
  • Запуск, останавка, перезапуск и проверка состояния служб

Полный список команд, требующих повышенных разрешений, находится в файле /opt/dtrun/dtrun.conf. Директория /opt/dtrun и все файлы внутри принадлежат пользователю root по соображениям безопасности.

Перенастройка команду dtrun sudo

Чтобы упростить управление разрешениями ОС, Dynatrace Managed использует один скрипт для запуска всех команд, требующих повышенных разрешений. Сценарий под названием dtrun представляет собой оболочку для sudo или любой другой команды, которую вы должны указать во время установки. Файл dtrun находится в директории /opt/dtrun/dtrun, и все команды, которые исполняются файлом dtrun, находятся в директории /opt/dtrun/dtrun.conf. Исполняться могут только скрипты и команды в директории /opt/dtrun/dtrun.conf can be run.

Если кластеру необходимо выполнить команду от имени пользователя root (например, чтобы добавить iptables, перезапустить компонент или запустить средство обновления), он будет использовать набор SUDO_COMMAND во время установки, чтобы попытаться получить повышенные разрешения. Вы также можете искать проблемы в лог-файле /var/opt/astromkey-managed/log/dtrun.log.

Если вам нужно перенастроить существующую установку для использования альтернативы sudo, вы можете запустить сценарий перенастройки. Например, чтобы изменить команду sudo на pbrun, используйте этот скрипт для повторного запуска программы установки:

sudo /opt/astromkey-managed/installer/reconfigure.sh --sudo-cmd "/usr/bin/pbrun \$CMD"

Исправление неполадок

Неправильно настроенные разрешения могут привести к различным проблемам, например, с Dynatrace Managed или сетью. Если есть проблема с разрешениями, вы увидите такие записи в журнале установки, как:

sudo: pam_open_session: System error
sudo: policy plugin failed session initialization

Также вы увидите проблемы в этих журналах:

  • /var/opt/astromkey-managed/log/dtrun.log (логи dtrun)
  • /var/opt/astromkey-managed/log/launch-logging.log (логи скриптов запуска служб)

При устранении неполадок с sudo или повышенными разрешениями лучший подход — запустить всю конфигурацию сразу и сравнить. Под пользователем root все приведенные ниже команды должны генерировать вывод:

cat /etc/sudoers | grep -i include
cat /etc/sudoers.d/astromkey

su - astromkey-s /bin/bash -c 'sudo /opt/dtrun/dtrun iptables -L -n'

cat /etc/sudoers | grep astromkey
cat /etc/passwd | grep astromkey
cat /etc/shadow | grep astromkey

chage -l astromkey

Команда chage сообщает вам, истекает ли срок действия пароля (это также может вызвать проблемы с доступом к sudo). Когда вы выполняете дополнительные проверки безопасности, чтобы контролировать, что разрешено выполнять dtrun, вы можете легко узнать, работает ли sudo должным образом, выполнив следующую команду от имени пользователя root:

su - astromkey -s /bin/bash -c 'sudo /opt/dtrun/dtrun service astromkey-server status'

Следующая команда является примером проверки повышения разрешений с помощью альтернативы sudo, pbrun:

su - astromkey -s /bin/bash -c 'pbrun /opt/dtrun/dtrun service astromkey-server status'