03-6416-1579

平日 10:00-18:00

Red Hat Enterprise Linux にエージェントをインストールする


エージェントのインストール前提条件

  • HTTP Proxy の設定が必要な場合、HTTP Proxy の設定(環境変数)が予め行われていること。
  • ホストから VM サーバに対して HTTP (HTTPS) でアクセス可能であること (Proxy 経由可)
  • エージェントの対象ディストリビューションであること。

取得対象情報

エージェントで取得・登録される情報およびオープンソースソフトウェア (OSS) は収集対象をご参照下さい。

エージェントをインストールする

  1. root ユーザに昇格します。
    $ su -
  2. ruby, openssl および unzip をインストールします。
    # yum install -y ruby openssl unzip findutils
    プロキシサーバを経由して外部に接続している環境では、インストール前に /etc/yum.conf 設定ファイルへプロキシの設定を追加します。
    proxy=http://proxy.example.co.jp:3001
  3. ダウンロードページをブラウザで開きます。
  4. 「SIDfm VM サブスクリプション契約約款」および「ソフトウェア使用許諾契約書」に同意し、チェックを入れたあと「ダウンロードページ」をクリックします。

  5. エージェントのアーカイブファイルをダウンロードします。

  6. 以下のコマンドを実行して、VM エージェントパッケージをインストールします。
    # rpm -Uvh sidfm-vm-agent-1.0-1.noarch.rpm
  7. 以下のコマンドを実行して、VM サーバで発行したホスト登録用 API キーを設定します。
    # echo "ホスト登録用 API キー" > /opt/softek/tmp/.register_apikey

    ホスト登録用 API キーの発行方法は「ホスト登録用 API キーを登録する」を参照してください。なお、ホスト登録が必要な時にだけ発行し、通常運用時には削除する運用を推奨しています。 これは、このホスト登録用 API キーがあれば、自由にホスト登録が可能となるため、意図しないホストの登録が行われる可能性があるためです。
    ライセンス設定画面のAPIキーとは異なりますのでご注意下さい。

  8. SIDfm VM ではホスト名でホストを識別しており、ホスト名が対象のネットワークで一意である必要があります。そのため、正しいホスト名が設定されているか確認します。
    # uname -n
    もし「ユニーク」なホスト名として不適切(FQDN でないホスト名等)な場合は、9. の設定ファイルの生成の際にホスト名を明記することで変更が可能です。
    なお、VM エージェントで指定するホスト名は、VM サーバでホストを識別するための名前として利用されます。システム内で一意である必要はありますが、実際のホスト名と異なっていても問題はありません。
  9. エージェントの設定ファイルをコマンドで生成します。ホスト名を指定しないときは、以下のコマンドで設定ファイルを生成します。なお、ホスト名は、uname -n コマンドを使用して自動的にセットされます。
    # /opt/softek/bin/generate_config.rb <VMサーバのURL>/redmine/sidfm/api/register/
    • 例 : VM サーバの URL が 「http://sidfmvm.example.co.jp」 の場合
      # /opt/softek/bin/generate_config.rb http://sidfmvm.example.co.jp/redmine/sidfm/api/register/
    ホスト名を指定する場合は、以下のコマンドで設定ファイルを生成します。
    # /opt/softek/bin/generate_config.rb <VMサーバのURL>/redmine/sidfm/api/register/ <ホスト名>
    • 例 : VM サーバの URL が 「http://sidfmvm.example.co.jp」、ホスト名が 「sample」 の場合
      # /opt/softek/bin/generate_config.rb http://sidfmvm.example.co.jp/redmine/sidfm/api/register/ sample
  10. HTTP Proxy 設定を行います。
    利用している proxy の形式に合わせて、以下のコマンドを実行してください。なお、ホスト名(proxy.example.com, http.proxy.example,com, https.proxy.example.com)やポート番号(8080)、認証情報(user, pass)は、自組織の設定に合わせて設定してください。なお、Proxy 認証は BASIC 認証のみ対応しております。

    1. [HTTP Proxyが必要無い場合]

    # /opt/softek/bin/proxy_config.rb disable

    2. [HTTP Proxyが必要な場合(HTTP/HTTPSが同一の設定、認証無し)]

    # /opt/softek/bin/proxy_config.rb enable proxy.example.com:8080

    3. [HTTP Proxyが必要な場合(HTTP/HTTPSが異なる設定、認証無し)]

    # /opt/softek/bin/proxy_config.rb enable http.proxy.example.com:8080 https.proxy.example.com:8080

    4. [HTTP Proxyが必要な場合(HTTP/HTTPSが同一の設定、認証有)]

    # /opt/softek/bin/proxy_config.rb enable user:pass@proxy.example.com:8080
  11. インストールしようとしているOSがRockyLinux, Oracle Linuxの場合、Red Hat Enterprise Linux互換機能を利用する必要があります。
    Red Hat Enterprise Linux互換機能に対応しているOS以外でこの操作を行った場合、正しくOSの認識ができなくなりますので、この手順を実施せず次の手順へお進み下さい。

    Red Hat Enterprise Linux互換機能とは、Red Hat Enterprise Linux互換かつSIDfmで取り扱いしていないLinuxディストリビューションについて、強制的にRed Hat Enterprise Linuxとして登録を行い、脆弱性の検出を行う機能です。
    SIDfmで取り扱いの無いLinuxディストリビューションでも対応できる機能ですが、以下の制限がございますので、この制限をご理解頂いた上でご利用下さいますよう宜しくお願い致します。
    • 動作環境のVMエージェントのオペレーティングシステム(OS)で、「Red Hat Enterprise Linux互換機能を利用する」ことが明記されているOS・バージョン以外では正常に動作しません
    • SIDfmで対応しているRed Hat Enterprise Linuxのバージョンのみ対応しております
    • Red Hat Enterprise Linuxには存在しないパッケージもしくは互換性が無いパッケージに関しては、正しく脆弱性が検出されない可能性があります
    • Red Hat Enterprise Linuxに互換性の無い機能については対応できません
    • VMサーバではRed Hat Enterprise Linuxとして管理されます。OS名等もRed Hat Enterprise Linuxとなります
    • 検出される脆弱性情報はRed Hat Enterprise Linuxのものとなります。実際のOSの情報については、検出された脆弱性情報を元に、CVE ID等を用いてベンダサイトで再度確認する必要があります
    • 各Linuxディストリビューションの方針変更等により、この機能が動作しなくなる可能性があります
    Red Hat Enterprise Linux互換機能を利用する場合は以下の操作を行います。なお、Red Hat Enterprise Linux互換機能に対応しているOS以外でこの操作を行った場合、正しくOSの認識ができなくなりますので、この手順を実施せず次の手順へお進み下さい。
    # touch /opt/softek/bin/flag.rhel_compatible
  12. 必要があれば、探索から除外するディレクトリを指定します。
    Linux版VMエージェントでは、パッケージ管理されていないプログラムをファイルシステム上で探索し、エージェント検出プロダクトとして脆弱性検出を行う機能がありますが、非常にファイルの多いディレクトリ等が存在する場合に、VMエージェントの実行時間が非常に長くなってしまう場合があります。
    その場合、特定のファイルやディレクトリについて除外する機能がございますので、もしVMエージェントの実行に時間がかかる、いつまで待っても終了しない等の問題がございましたら、本設定を実施下さい。
    もしそのような問題が存在しなければ、本手順を実施せず、次の手順へお進みください

    本設定を行う場合は、/opt/softek/bin/vm_ignore ファイルを作成し、除外するディレクトリを指定します。
    記載方法は、/opt/softek/bin/vm_ignore.sample ファイルがサンプルファイルとなっておりますので、そちらをご参照ください。
  13. 以下のコマンドを実行して、VM サーバにホストを登録します。
    # /opt/softek/bin/vm_agent.sh
    登録が成功すると VM サーバにホストとして登録・パッケージ情報等の送信が行われます。なお、登録成功の時点で 4. で設定したホスト登録用 API キーは削除され、代わりに /opt/softek/var/.host_apikey, /opt/softek/var/.hostname が生成されます。ホスト用の API キーが記載されており、以降の定期実行ではこのホスト用の API キーにより VM サーバにアクセスを行います。そのため、7. まで操作が終了しホストの登録が終了した後は、セキュリティ上の問題となりますので、ホスト登録用API キーを削除することを推奨します。
  14. ホストの脆弱性チェックの定期実行(1 日 1 回)を有効にします。
    # /opt/softek/bin/sidfm_vm_agent_ctl enable

インストール後に行う作業

エージェントのインストール作業が終わりましたら、VM にログインしホスト登録の確認、並びに、同期の確認を行います。

ホストが正常に登録されているか確認する

Web ブラウザーを起動し SIDfm VM のログインページにアクセスします。

  1. Web プラウザを起動します。
  2. http://<VM サーバのホスト名>/redmine/ にアクセスします。
  3. ログイン ID とパスワードを入力し、「ログイン」をクリックします。
  4. 設定メニューの「ホスト設定」をクリックします。
  5. 登録ホスト一覧の中にインストールしたホストが登録されているか確認します。

ホストと SIDfmAPI との同期を確認する

登録ホストが「」になっているか確認します。同期ボタンにカーソルを合わせるとVM エージェントからのデータ受信日時、脆弱性照合日時を確認することができます。

2 日以内に SIDfmAPI との脆弱性照合 (同期) を行っている
  • 最後に脆弱性照合 (同期) してから 2 日経過している
  • 同期待機中 : 登録してからまだ最初の脆弱性照合 (同期) が行われていない、システムカテゴリが割り当てられていない
  • 同期無効 : 何らかの問題で脆弱性照合 (同期) がされない状態

ホスト登録用 API キーを削除する

エージェントによりホスト登録を終了する場合、ホスト登録用 API キーの不正使用や意図しないホストの登録を防止するため、ホスト登録用 API キーはホスト登録作業後、削除してください。ホスト登録用 API キーの削除方法については「ホスト登録用 API キーを削除する」を参照してください。