Installed Collector のファイル システム セキュリティの強化機能
Installed Collector のログ キャッシュ ファイルと設定ファイルには、重要な情報が保存されています。キャッシュ ファイルと設定ファイルに関する潜在的なセキュリティの問題に対応するため、Collector リリース 19.170 では、強化されたファイル システム セキュリティ モードを Collector のインストールに導入しています。
強化されたセキュリティ モードでは、Collector のインストール フォルダをファイル システム レベルで保護します。このモードが有効である場合は、sumologic_collector グループに属するユーザしか Collector のフォルダにアクセスできません。
新規 Collector のインストール
UI インストーラ、クワイエット モード、または RPM/Debian パッケージを使用して Collector をインストールする場合のデフォルトの挙動は次のようになります。
- sumologic_collector グループが存在しなければインストール時に作成されます。
- sumologic_collector グループのメンバーのみが Collector のフォルダにアクセスできます。このグループのメンバーは、フォルダに対してすべての権限を持ちます。
- sumologic_collector グループには、次のユーザが自動的に追加されます。
- システム管理者 (root を含む)
- UI インストーラを起動したユーザ
- Collector を実行するユーザ (指定されている場合のみ)
バイナリ パッケージを使用して Collector をインストールする場合は、次のセクションの説明に従って、強化ファイル システム セキュリティ機能を手動で有効にする必要があります。
新規 Collector のインストール時に強化ファイル システム セキュリティ機能を無効にするには、以下のコマンド ライン引数を指定します。
-Vcollector.secureFiles=false
強化ファイル システム セキュリティ機能の有効化と無効化
Collector のインストール時に強化ファイル システム セキュリティ機能を有効にすることでインストールのセキュリティを高めることができますが、無効にすることで互換性を高めることができます。 Collector のアップグレード時には、モードを手動で変更する必要があります。
Linux と MacOS では次のコマンドを使用します。
script/secureFiles.sh[homeDir] [runAs]
強化セキュリティ モードに切り替え
script/unsecureFiles.sh [homeDir] [runAs]
旧モードに切り替え
Windows では次のコマンドを使用します。
script/secureFiles.cmd [homeDir] [runAs]
強化セキュリティ モードに切り替え
script/unsecureFiles.cmd [homeDir] [runAs]
旧モードに切り替え
次の省略可能なパラメータもサポートされています。
|
パラメータ |
使い方 |
説明 |
|
homeDir |
|
Collector をインストールする際のルート ディレクトリ (指定しない場合は、このスクリプトが存在するフォルダの親フォルダを使用) |
|
runAs |
|
Collector を起動したアカウントの名前。指定しない場合は、現行ユーザまたは root ( |
Collector のインストール ディレクトリの所有権に関する問題の解決
(1) ログイン シェルから派生していない設定マネージャー プロセスによって Collector をインストールする場合や (2) Docker コンテナ内など、一部の環境では $USER が設定されていないために secureFiles.sh スクリプトが正常に実行されないことがあります。この場合、Collector のインストール ディレクトリの所有権は root:sumologic_collector ではなく root:root に移ります。
この問題を回避するため、制御プロセスで $USER を現行ユーザまたは root に設定してください。