インストール済みコレクタのファイル システム セキュリティの強化機能
インストール済みコレクタのログ キャッシュ ファイルと設定ファイルには、重要な情報が保存されています。キャッシュ ファイルと設定ファイルに関する潜在的なセキュリティの問題に対応するため、コレクタ リリース 19.170 では、強化されたファイル システム セキュリティ モードをコレクタのインストールに導入しています。
強化されたセキュリティ モードでは、コレクタのインストール フォルダをファイル システム レベルで保護します。このモードが有効である場合は、sumologic_collector グループに属するユーザしかコレクタのフォルダにアクセスできません。
新規コレクタのインストール
UI インストーラ、クワイエット モード、または RPM/Debian パッケージを使用してコレクタをインストールする場合のデフォルトの挙動は次のようになります。
- sumologic_collector グループが存在しなければインストール時に作成されます。
- sumologic_collector グループのメンバーのみがコレクタのフォルダにアクセスできます。このグループのメンバーは、フォルダに対してすべての権限を持ちます。
- sumologic_collector グループには、次のユーザが自動的に追加されます。
- システム管理者 (root を含む)
- UI インストーラを起動したユーザ
- コレクタを実行するユーザ (指定されている場合のみ)
バイナリ パッケージを使用してコレクタをインストールする場合は、次のセクションの説明に従って、強化ファイル システム セキュリティ機能を手動で有効にする必要があります。
新規コレクタのインストール時に強化ファイル システム セキュリティ機能を無効にするには、以下のコマンド ライン引数を指定します。
-Vcollector.secureFiles=false
強化ファイル システム セキュリティ機能の有効化と無効化
コレクタのインストール時に強化ファイル システム セキュリティ機能を有効にすることでインストールのセキュリティを高めることができますが、無効にすることで互換性を高めることができます。 コレクタのアップグレード時には、モードを手動で変更する必要があります。
Linux と MacOS では次のコマンドを使用します。
script/secureFiles.sh[homeDir] [runAs]
強化セキュリティ モードに切り替え
script/unsecureFiles.sh [homeDir] [runAs]
旧モードに切り替え
Windows では次のコマンドを使用します。
script/secureFiles.cmd [homeDir] [runAs]
強化セキュリティ モードに切り替え
script/unsecureFiles.cmd [homeDir] [runAs]
旧モードに切り替え
次の省略可能なパラメータもサポートされています。
|
パラメータ |
使い方 |
説明 |
|
homeDir |
|
コレクタをインストールする際のルート ディレクトリ (指定しない場合は、このスクリプトが存在するフォルダの親フォルダを使用) |
|
runAs |
|
コレクタを起動したアカウントの名前。指定しない場合は、現行ユーザまたは root ( |
コレクタのインストール ディレクトリの所有権に関する問題の解決
(1) ログイン シェルから派生していない設定マネージャー プロセスによってコレクタをインストールする場合や (2) Docker コンテナ内など、一部の環境では $USER が設定されていないために secureFiles.sh スクリプトが正常に実行されないことがあります。この場合、コレクタのインストール ディレクトリの所有権は root:sumologic_collector ではなく root:root に移ります。
この問題を回避するため、制御プロセスで $USER を現行ユーザまたは root に設定してください。