IBM Support

QRadar: QRadar で sudo または su コマンドで root 権限にする方法

How To


Summary

IBM QRadar のユーザーが、QRadar 環境で使用する Linux® の非rootアカウントを作成するケースが増えています。該当ユーザーが管理用タスクを実行するには、sudo または su コマンドで root 権限で実行する必要があります。

Objective

管理用タスクは、パッチの適用、RPM のインストールなどが含まれます。「 QRadar 」の root ユーザーは、QRadar root 構成ディレクトリーにアクセスするため、PATH にある特定の環境変数を必要とします。root 権限でコンソールに直接ログインすると、root ユーザーのためのディレクトリーおよびパーミッションを自動的に取得します。しかし、su コマンドまたは sudo コマンドの場合は、特別な方法で使用する必要があります。

Steps

 sudo を使用する場合は、「 -i 」のパラメーターを使用する必要があります。そのため、非rootユーザーとしてログインして、「 sudo -s 」でなく、「 sudo -i 」を実行します。その結果、 root ユーザーの環境となり、QRadar Admin コマンドを実行するために必要な PATH が与えられます。例えば、「 sudo -s 」を使用してログインした場合は RPM をインストールできますが、QRadar データベースを更新するための PATH およびパーミッションはありません。RPM はインストールされていますが、QRadar ソフトウェアによって使用可能となりません。

su または sudo を正しく使用しないと、RPM をインストールする時にファイルのパーミッション・エラーになることがあります。DSM およびプロトコルをインストールしますが、QRadar でプロトコルまたは DSM が使用できません。それは、root ユーザーがその環境で適切な PATH を持っていないために、QRadar データベースが更新されなかったことが原因です。

同様に「 su 」を使用する場合、単に「 su root 」を使用することはできません。この場合も root ユーザーが適切な環境ではないため、「 su - 」を使用する必要があります。その際、su コマンド後の「スペース」および「ダッシュ」に注意してください。よって、コマンドは「 su - root 」になります。

注: QRadar アプライアンス上のコマンド・ラインからユーザーを作成することはサポートされていません。新規ユーザーの追加およびそれらアカウントの sudo の提供に関するセキュリティー要件がある場合は、STIG 準拠の確認、または IBM セキュリティー・エキスパート・ラボにご連絡ください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
03 January 2022

UID

ibm16493283

Page Feedback