私はシステム管理者ではなく(ソフトウェア開発者です)、今回はWazuh(SIEMソフトウェア)で監視する一部のCentOSシステムにいくつかのエージェントをインストールする必要がありました。次の質問があります。 YUMを介してエージェントを正常にインストールした後、このWazuhエージェントに関連するサービスを有効にする必要があります。
その後、wazuh-agentサービスを有効にするには、次のコマンドを実行する必要がありました。
[adminuser@my-machine ~]$ systemctl enable wazuh-agent
==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-unit-files ===
Authentication is required to manage system service or unit files.
Multiple identities can be used for authentication:
1. Cloud User (centos)
2. adminuser
3. user2
問題は、コマンドを実行すると、どのユーザーにこのサービスを有効にするかを尋ねることです(ユーザー認証が必要です)。
このコンピュータには3人のユーザーが定義されています。
- セントース:SSHを介して初めてマシンにアクセスするために使用される管理権限を持つユーザーであり、ここで他の2人のユーザーを作成するために使用されます。
- ユーザー管理:これは私の管理ユーザーです(SSHアクセス権があります)。管理権限があります。
- ユーザー2SSHアクセス権を持たない2番目の管理者です。管理者権限を持っているがコンピュータで作業し、このWazuhエージェントの活動に関与していない他の人が使用します。
それでは、最良の選択は何ですか?個人管理ユーザー(adminuser)の使用を検討していますが、これが最善の選択であるかどうかはわかりません。
もう1つの質問は、このコマンドでwazuh-agentサービスを有効にしたことです。マシンが再起動するとどうなりますか?再起動後にサービスが自動的に開始されますか、それとも手動で開始する必要がありますか?
ベストアンサー1
systemctlroot以外のユーザーとして実行すると、systemdはPolicyKitを使用して権限をエスカレートできることを確認します。他の回答ではsudoを使用するように言いますが、これも良い考えですが、sudoはsystemdとはまったく異なる設定を使用して権限を昇格できるかどうかを決定します。
CentOS の PolicyKit 構成は/etc/polkit-1/rules.d/50-default.rules次のとおりです。
polkit.addAdminRule(function(action, subject) {
return ["unix-group:wheel"];
});
これは、管理機能を実行できる必要があるアカウントが「wheel」グループのメンバーであることを意味します。