Linux エージェントの非特権実行

Directory for Checkmk agent で、インストールディレクトリを指定できます。

すべてのエージェントパッケージファイルは、/etc/ 、/usr/lib/ 、/var/lib/ などのディレクトリではなく、このディレクトリにインストールされます。 セキュリティ上の理由から、ユーザーのホームディレクトリ内のディレクトリは 選択しないでください。

Solaris および AIX の設定はこれで完了です。 Linux では、非特権実行も指定できます。

Customize user を選択すると、Linux エージェントには 2 つの基本オプションがあります。

デフォルト値であるRun agent as root, set agent controller user およびcmk-agent as userは、このルールを設定しなくても、Linux用Checkmkエージェントのデフォルトの動作を正確に指定します。 これにより、エージェントコントローラーはcmk-agent で実行され、エージェントスクリプトはroot で実行されます。 ただし、cmk-agent として別のユーザーを指定できるようになった点が新しい機能です。

2 つ目のオプションは、Run agent as non-root, set agent user.です。 これは、エージェントコントローラーに加えて、エージェントスクリプトも指定したユーザーで実行することを指定します。つまり、どちらも非特権ユーザーで実行されます。

ユーザー (UID) およびグループ (GID) に数値 ID を割り当てることもできます。 お使いの Linux ディストリビューションの慣例および使用するファイルシステムの制限に注意してください。

最後のオプションは、このルールで選択したユーザーが存在しない場合に、そのユーザーを作成するかどうかを決定します。

エージェントプラグインでは、ルールPlug-ins, local checks and MRPE for non-root users を使用して、特定のディレクトリの実行ユーザーを個別に指定することができます。 これにより、特定のフォルダ内のプラグインを、他の非特権ユーザーIDまたはrootとして実行することができます。 このルールは、自動的にインストールされるエージェント設定を生成します。 ホストでの詳細な設定については、以下で説明します。

エージェントスクリプトに、通常、高レベルの権限を必要とするコマンドの前に sudoこれは、Checkmk の2.4.0 mdadm (さまざまなソフトウェア RAID および暗号化されたドライブのステータスを読み取る) およびmailq (postfix MTA の電子メールキューを読み取る) に影響します。

sudo の設定例は、エージェントのインストールディレクトリのサブフォルダ default/package/agent/checkmk_agent_sudoers_template にあります。 必要な行を/etc/sudoers に転送するか、ファイル全体を/etc/sudoers.d にコピーしてください（推奨されません）。 必要に応じてエントリを調整してください。 たとえば、電子メールキューの読み取りにスーパーユーザー権限は必要ない場合があり、MTA が実行されているユーザー ID を使用できます。

エージェントプラグインを実行するには、ファイル権限、グループ割り当て、またはアクセス制御リストを使用して、必要な情報へのアクセスを確実に許可することをお勧めします。 以下のリストは、可能な方法を示しています。

エージェントプラグインの実行に root 権限が必要な場合は、以下の方法があります。

.tar.gz 形式の TGZ パッケージを使用する場合は、インストール後に許可が正しく付与されていることを確認してください。 Linux でパッケージ管理を使用して実行したインストール例を参考にしてください。

エージェントコントローラーを使用できない、または使用すべきでない場合は、(x)inetd による暗号化されていない呼び出し、または Secure Shell による暗号化された呼び出しの両方が可能です。 root 権限による呼び出しと比較して、若干の変更が必要です。