提升权限

若获得了 SSH 认证，您可以提升扫描引擎权限至获取某些数据必需的管理或 root 访问权。例如，基于 Unix 的 CIS 基准检查经常要求管理员级别的权限。包含 su（超级用户）、sudo（超级用户执行）或组合这些方法可保证权限提升是安全的。

权限提升是配置 SSH 凭证时的可用选项。配置此选项包括选择一个权限提升方法。使用 sudo 保护您的管理员密码和服务器的完整性，而无需管理密码。使用 su 需要管理员密码。

当您在站点配置中创建或编辑 SSH 凭证时，提升权限的选项将显示：

权限提升

您可以选择使用以下一种方法提升权限：

• su– 可让您使用非 root 账户远程认证，而无需通过如 SSH 等服务配置系统获得远程 root 访问。若要使用 su 认证，则输入您想尝试将提升权限至此用户的用户密码。例如，如果您想将权限提升至 root 用户，则在共享扫描凭证配置面板的权限提升区域中的密码字段输入此 root 用户的密码。
• sudo– 可让您使用非 root 账户远程认证，而无需通过如 SSH 等服务配置系统获得远程 root 访问。另外，它可以使系统管理员明确控制一个已认证用户可以使用 sudo 命令运行哪些程序。若要使用 sudo 认证，则输入您想尝试提升权限的用户的密码。例如，如果您想将权限提升至 root 用户，并以 jon_smith 登录，则在共享扫描凭证配置面板的权限提升区域的密码字段输入 jon_smith 的密码。
• sudo+su– 使用 sudo 和 su 的组合，获取需要您目标资产的特权访问的信息。当您登录后，本应用程序将使用 sudo 认证运行使用 su 的命令，无需在任何地方输入 root 密码。如果 su 命令的访问权被限制了，则 sudo+su 选项将无法访问必需的信息。
• pbrun– 使用 BeyondTrust PowerBroker 以允许 InsightVM 以 root 身份在 Unix 和 Linux 扫描目标上运行加入白名单的命令。您需要在扫描目标上配置某些设置才能使用此功能。请参看以下部分。

配置您的扫描环境以支持 pbrun 权限提升

在您可以提升 pbrun 扫描权限前，您需要创建一个配置文件并将其部署到每个目标主机。此配置提供了 InsightVM 使用此方法扫描成功需要的条件：

• InsightVM 可以使用 pbrun 执行用户的外壳，如 $SHELL 环境变量所示。
• pbrun 不要求 InsightVM 提供密码。
• pbrun 以 root 身份运行外壳。

以下一份示例配置文件的节取显示了符合条件的设置：

RootUsers = {"user_name" };

RootProgs = {"bash"};

if (pbclientmode == "run" &&

user in RootUsers &&

basename(command) in RootProgs) {

 

# setup the user attribute of the delegated task

runuser = "root";

rungroup = "!g!";

rungroups = {"!G!"};

runcwd = "!~!";

 

# setup the runtime environment of the delegated task

setenv("SHELL", "!!!");

setenv("HOME", "!~!");

setenv("USER", runuser);

setenv("USERNAME", runuser);

setenv("LOGNAME", runuser);

setenv("PWD", runcwd);

setenv("PATH", "/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin");

# setup the log data

CleanUp();

accept;

}

使用系统日志追踪权限提升

目标资产的管理员可以在系统日志中控制和追踪 su 和 sudo 用户的活动。当尝试权限提升失败时，这些日志会出现错误消息，所以管理员可以解决和更正错误，并再次运行扫描。