Red Hat Training

A Red Hat training course is available for Red Hat JBoss Operations Network

7.5. root 以外のユーザーとしてエージェントの実行

一部のリソース情報にアクセスするには、エージェントがリソース自体への root アクセスを持っている必要があります。ただし、セキュリティー上、多くの管理者は、エージェントプロセスを root として実行しません。
Red Hat Enterprise Linux では、エージェントを root 以外のユーザーとして実行している間に、エージェントを特定リソースにアクセスを許可できます。これは、リソースのローカルディレクトリーまたはファイルにローカル アクセス制御ルール を設定することで行います。
注記
この例では、PostgreSQL データベースの ACL を設定します。setfacl コマンドで指定するディレクトリーおよびファイルは、リソースタイプによって異なります。
  1. root でシステムにログインします。
  2. システムに acl パッケージがインストールされていることを確認します。
    # rpm -q acl
    acl-2.2.39-6.el5
    acl オプションはファイルシステムに適用する必要があります。これには、/etc/fstab ファイルを編集するか、を使用し tune2fsます。例:
    # vim /etc/fstab
    
    LABEL=/           /             ext3    defaults,acl    1 1
    ...
    次に、ファイルシステムを再マウントします。
    # mount -o remount /
  3. 必要に応じて、エージェントに使用するシステムユーザーを作成します。
    useradd jbosson-agent
  4. PostgreSQL の場合、エージェントは postgresql.conf ファイルにアクセスできる必要があります。PostgreSQL ディレクトリーを開きます。
    # cd /var/lib/pgsql
  5. エージェントユーザーに postgresql.conf ファイルの読み取りおよび書き込みアクセスを付与します。例:
    # setfacl -m u:jbosson-agent:rw $PGDATA/postgresql.conf
  6. 次に、data/ ディレクトリーへのアクセスを agent ユーザーに付与します。例:
    # setfacl -m u:jbosson-agent:x $PGDATA
  7. getfacl コマンドを使用して、新しい ACL が正しく追加されたことを確認します。
    # getfacl .
    # file: .
    # owner: postgres
    # group: postgres
    user::rwx
    user:jbosson-agent:--x
    group::---
    mask::--x
    other::---