まず最初に

Red Hat Insights をニーズに一致するように設定する (Red Hat サーバーへの送信内容と送信方法の制御ということ) 前に、まず最初に Red Hat Insights に基本について復習しましょう。

Red Hat Insights が見えないところでしていることは制御できる?

もちろんできます!

Red Hat Insights は、システムのランタイム設定についてのメタデータを収集します。このデータは、サポートケースの sosreport で収集される約 1% になり、sosreport のサブセットになるので、sosreport の使用が許可されている場合は、Insights データの収集も許可されるべきでしょう。

Red Hat Insights ツールで --no-upload オプションを使うと、お客様は収集されるデータを確認することができます。これは、Insights のクライアントおよび収集を実行しますが、分析のために Red Hat に送信するものではありません。この収集はローカルで一時ディレクトリーに保存され、確認することができます。

# ls -lh /var/tmp/TAFHhW/insights-amaya-insights2-20180129165816.tar.gz
-rw-r--r--. 1 root root 138K Jan 29 16:58 /var/tmp/TAFHhW/insights-amaya-insights2-20180129165816.tar.gz
# ls -lh /var/tmp/sosreport-amaya-insights2-20180129165924.tar.xz
-rw-------. 1 root root 12M Jan 29 16:59 /var/tmp/sosreport-amaya-insights2-20180129165924.tar.xz

このデータは SSL 経由で Red Hat のサーバーに送信され、当社のサポートナレッジデータベースと比較され、一致が検索されて、お客様にアクションの形式で返されて、表示されます。

Red Hat Insights の中身

Red Hat Insights では Python-2.6.6-64 以降が必要で、メインの設定ファイルは /etc/redhat-access-insights/redhat-access-insights.conf になります。

Red Hat Insights の登録は、システムがソフトウェア更新の登録方法を自動検出し、その情報に基づいてクライアントを自動設定できます。自動設定では、CERT がデフォルトの authmethod です。 それ以外の場合は、authmethod を BASIC に設定することができ、その場合はターゲット Insight サーバー (カスタマーポータルまたはSatellite) のユーザー名とパスワードが必要になります。

Red Hat Insights は、Satellite サーバーをプロキシとして使用してカスタマーポータルに診断データを送信するため、接続環境が必要になります。

ログファイル

ログファイルは /var/log/redhat-access-insights/redhat-access-insights.log にあります。ログはデータが正常に収集されるたびに .log.1,.2,.n, というように交代するので、ケースを開いた後にアップロードが行われると、関連ログは別のファイルになる可能性があることに留意してください。
ログファイルは、データ収集とそのデータを Insights サーバーにアップロードするプロセスを記録します。

さらなる制御は…

可能です!

Insights は、収集、送信するものをさらに制限したり、レポートでホスト名や IP アドレスを難読化するように設定できます。ソースコードは、いつでも rpm から直接見ることができます。すべての情報は閲覧可能となっています。

すべてのデータは、転送時および保存時の両方でアップロード、暗号化の前に、必要最小限のファクトまで削られます。UI でシステムを表すために選択した名前を変更することもできます(たとえば、完全修飾ドメイン名ではなく apache01.prod とするなど)。

また、設定をブラックリスト化することで、サービスに送信するデータをオプトアウトすることも可能です。サービスは機能を継続し、オプトアウトした特定データに依存する健全性チェックのみが影響を受けることになります。

Insights クライアントでは、特定のファイルやキーワード、パターンを無視するようにして、データ編集を使いやすくすることができます。

収集されたデータは、安全な TLS / https 接続を介して送信されます。 これは、LUKS 暗号化を使用して Red Hat のシステム上で暗号化されて保存され、次のレポートが受信されるまで保持されます (デフォルトでは24時間)。スキャンの間隔内に別のレポートが届かない場合、ファイル上のデータ(暗号化されたデータ) は最大 2 週間保存され、その後システムから削除されます。

Red Hat Insights クライアントは、ホスト名と IP 情報を難読化するための簡単なパラメータも提供します。実際のホスト名と IP 情報は、ルール分析に十分な難読化された一貫性のある名前で置き換えられます。

データの収集方法

新たな Insights ルールが特定されると、分析と検出のために追加のメタデータを収集する必要があることがあります。Red Hat Insights によって収集されたシステム情報のリストは、必要に応じて更新されます。Red Hat Insights クライアントは、実行時に Red Hat に ping を実行して、最後の実行時以降に導入されたルールに追加のメタデータが必要かどうかを判断します。たとえば、新しいマルウェアチェックが追加された場合、Insights は新しいデータソースを調べて、システムに影響があるかどうかを判断する必要がある場合があります。

この自動チェック機能は、デフォルトで有効になっており、お客様にシステム用の新しいルールとプロアクティブな警告を確実に届けられるようにします。Red Hat への ping は無効にして、rpmバージョンで手動で更新することもできます。ただしこの場合は、健全性チェックは新たな情報に依存するので、健全性チェックの機会を逃してしまう可能性もあります。

Red Hat が収集ルールを更新すると、ルールは redhat-tools GPG キーで GPG 署名されます。この署名を検証できないと、Insights クライアントは直ちに中断します。このファイルは、各更新がリリースされる前に手動で慎重に検証されます。

収集ファイルの例

以下は Red Hat Insights が収集して処理用に送信するファイルの例です。

/etc/redhat-release
/proc/meminfo
/var/log/messages

ご心配なく! メッセージファイル全体を収集するのではなく、ルールに一致する可能性のある行を収集します (つまり、page allocation failure など)。

実行するコマンドの例

コマンド:

/bin/rpm -qa                        
/bin/uname -a
/usr/sbin/dmidecode

実行されたコマンドと収集したデータのリスト全体を知りたい場合は、このドキュメントを参照してください。

設定ファイルは /etc/redhat-access-insights/redhat-access-insights.conf で、これはよくある ini タイプのファイルで、以下のようにコメントが # で区切られています。

[root@server ~]# cat /etc/redhat-access-insights/redhat-access-insights.conf

# Example options in this file are the defaults

# Change log level, valid options DEBUG, INFO, WARNING, ERROR, CRITICAL. Default DEBUG
#loglevel=DEBUG

# Log each line executed
#trace=False

# Attempt to auto configure with Satellite server
#auto_config=True

# Change authentication method, valid options BASIC, CERT. Default BASIC
#authmethod=BASIC

# username to use when authmethod is BASIC
#username=
# password to use when authmethod is BASIC
#password=
[...]

IP アドレスを難読化するには、以下の行を追加します。

obfuscate=True

ホスト名を難読化するには、以下の行を追加します。

obfuscate_hostname=True Blacklist

ブラックリストにアイテムを追加するには、/etc/redhat-access-insights/remove.conf を使用するだけになります。

まとめ

皆さんがデータのセキュリティーについて心配していることは分かっていますが、最適化と管理に最適な機能を提供するために共有する必要がある場合もあります。この投稿では、Red Hat のチームがこの懸念を理解しており、データを安全に保つ強力なツールを提供する努力をしていることをお伝えしてきました。
詳細情報については、こちら を参照してください。