2023/12/29 桜井耕造
先般、Windowsのインベントリ情報の収集について紹介しました。今回は、Linux系の収集データについて紹介します。audit_linux.shをサーバに配布し、実行することで、サーバにデータをアップロードします。Linuxでは、以下の情報を取得できます。
■Linuxの設定情報
ホスト名、IPアドレス、OS名、OSバージョン、メーカー
■ハードウェア情報
ハードウェアメーカー、シリアル、バージョン、モデル、
ディスク情報(メーカー、ディスク容量)、メモリ容量、
プロセッサー情報(メーカー、スピードなど)
■ソフトウェア情報
インストール済パッケージ名、バージョン、稼働状況 など
■ロケーション
会社、組織、市町村、住所、国、所有者 など
■購入情報
購入請求書番号、資産管理番号、購入者番号、購入ベンダー、購入日、EOS、更新期限 など
■添付ファイル
画像ファイルはその内容を表示させることもできますし、単純に添付ファイルとして格納させることも出来ます。
2023/12/22 桜井耕造
ソフトウェアライセンス管理は、ライセンス違反による社会的・金銭的なリスクへの対応です。ソフトウェアは著作権で保護されており、意図せずともライセンスの違反を行うことは、著作権法違反の違法行為となります。使用しているソフトウェアの使用許諾契約に則って利用をしているか管理することはIT資産管理で重要なことです。
使用許諾契約に違反した利用は、刑事罰の対象となる恐れもあり、多額の賠償金を課せられることもあります。また、裁判などで不正利用が公表されれば、企業イメージや信頼の失墜に繋がります。公表されなくても、不正利用をすることでアップデートなどの適切なサポートが受けらないことで、セキュリティ脆弱性の対応が出来な無くなり、それによりハッキングされたりし、機密情報漏洩で被害を受けるリスクの生じてきます。
そこで、ソフトウェアライセンス管理をすることで、ソフトウェアライセンスの利用状況や利用端末などを把握し、様々なリスクを抑止することが出来ます。OpenAuditは少ないコストで、そのようなリスクを軽減するソフトウェアなのです。
OpenAuditのユーザー端末のインベントリ収集については、このURLをご参照下さい。ソフトウェアライセンス数が超過していないかと確認するときは、管理したいソフトウェア、ライセンス数を登録しておくことで、超過しているかを自動的に表示してくれます。超過していれば、ライセンスを追加で購入するとか、使用していないソフトウェアをアンインストールすることで対応が可能になります。例えば、アンインストールの対応で良ければ、OpenAuditを使用することで、無駄なライセンスを購入せずに済むことになります。
以下の画像は、「ウィルスバスター」のライセンスを3つ購入して、利用している端末を確認したものです。
また、ソフトウェアのセキュリティの脆弱性が発見されたときに、そのソフトウェアを使っている端末はどれか、バージョンは何を使用しているかを容易に把握することができて、セキュリティ対策としても活用が出来ます。
2023/12/21 桜井耕造
First Wave社の導入事例を紹介します。この事例は、アフガニスタンでBYOD端末をOpenAuditで管理したというものです。以下のリンクで事例(英文)を確認することも出来ます。
■導入企業: IAMとは
国際援助ミッション (IAM) は、アフガニスタンで最も長く活動を続けている非営利団体です。 人々の生活を改善し、健康、開発、教育における地域の能力を構築するために活動する、評判の高い NGO です。 私たちはアフガニスタンの人々と国際的なキリスト教ボランティアとのパートナーシップであり、1966年以来支援をしてきています。
https://iam-afghanistan.org/
■エグゼクティブサマリー
アフガニスタン人スタッフと約 40 人の海外駐在ボランティアとその家族は、その多くが独自のデバイスを持ち、異なるリモート ネットワークにアクセスしています。地理的に遠く離れた国でインターネットへのアクセスが限定的かつ断続的で、電力供給が中断されているため、使いやすく、低コストで、スケーラブルで高度にカスタマイズ可能なソリューションを必要としていたため、FirstWave の Open-AudIT を選択しました。
■要件
Open-AudIT を導入する前は、リモートサイトで手動による資産データの更新に依存していました。これは時間がかかり、ITスタッフが不足していたため、収集された情報が不正確になることが多々ありました。このように正確なデータであること、ユーザーが簡単にデータを更新させることができる仕組みを必要としていました。
(1)法令順守
タイムリーに対応できるように、不正なソフトウェアのインストールを検出する方法を必要としていました。
(2)BYOD
多くの援助従事者が自分の装備を使用することを選択しているため、これらのネットワークに接続された
デバイスとアドレスを追跡する方法が必要でした。
(3)資産管理
新しい標準オペレーティング環境が目前に迫っているため、導入を計画できる方法を必要としていました。
■組織として
既存の手動プロセスを置き換えるために、安定しない接続環境でも対処できるソフトウェア ソリューションを必要としていました。国内の各拠点と、少ないITスタッフの間に連絡できる手段がありません。ドメイン、アクティブディレクトリ、ログオンスクリプトがなく、資産管理サーバーからクライアント端末への通信できない環境 (クライアントから資産管理サーバーへ接続のみ) でも適応する必要がありました。また、低コストであることも必要でした。IAMは寄付金によって運営されている組織であり、ITシステムに使える資金はほとんどありませんでした。寄付者は、自分たちの資金がアフガニスタンの人々を直接支援するために使われることを期待していますが、外国軍のほとんどが国外に撤退したため、国際的な露出が少なくなり、したがって寄付者もさらに少なくなっています。
【手頃な価格と適応性 – オープンソースの大きな利点】
OpenAudITはAWSのインスタンスで構築しました。1週間以内に、彼らは最初のデバイス情報をを収集しました。オープンソース ソフトウェアの柔軟性のおかげで、この組織は、カスタマイズされたデータ収集方法を作成し、安定しない接続環境の問題に対処し、BYODユーザーに収集させることが出来ました。
■結果
IAM は、組織内で使用されている PCハードウェアと、そこにインストールされているソフトウェアを詳細に可視化できるようになりました。
また、不正なソフトウェアがインストールされた直後にそれを検出する方法も備えているため、ITポリシーを管理し、遵守することができます。
全体では、MicrosoftサーバーとPCで200台をOpenAuditで収集しています。
2023/12/19 桜井耕造
OpenAudit(v5.0)は、PC又はサーバのインベントリ情報を収集してくれます。自動的に収集することも手動実行で収集することも可能なツールです。例えば、社員の端末の情報をOpenAuditにアップロードしたい場合は、各ユーザーがaudit_windows.vbsのバッチを実行することで実現できます。社員の端末にエージェントをインストールする必要もないので、ユーザーの導入負担が少なく情報収集することが出来ます。
インベントリ情報は、ハードウェア、ソフトウェア、Windowsの設定情報まで幅広く取得することが出来ます。どんな情報を取得できるのかを以下ご紹介します。
■Windowsの設定情報
ホスト名、IPアドレス、OS名、OSバージョン、ドメイン、使用言語、ログインユーザー名、Windowsライセンスキー
■ハードウェア情報
ハードウェアメーカー、ハードウェアモデル、BIOSメーカー、ディスク情報(メーカー、ディスク容量)、メモリ容量、接続されているモニター情報(モデル、メーカーなど)、プロセッサー情報(メーカー、スピードなど)
■ソフトウェア情報
ソフトウェア名、バージョン、製造会社、インストールされた時間 など
また、収集した端末情報に追加で様々な情報を登録することも出来ます。デフォルトで用意されているフィールドもありますが、ユーザーが独自のフィールドを追加することも可能です。例えば、以下のようなデータを登録できます。
■ロケーション
会社、組織、市町村、住所、国、所有者 など
■購入情報
購入請求書番号、資産管理番号、購入者番号、購入ベンダー、購入日、EOS、更新期限 など
■添付ファイル
画像ファイルはその内容を表示させることもできますし、単純に添付ファイルとして格納させることも出来ます。
2023/12/15 桜井耕造
OpenAuditの最新バージョン5.0.0が2023年11月14日にリリースしました。(現在は、一部バグ修正された5.0.2がリリースされています。)OpenAuditはOPMANTEK社(オーストラリア)が20年近く開発してきたオープンソースですが、2022年にFirstWave社が買収し、引継ぎ開発が進んでいます。
今回のバージョンアップは、大きな機能追加はなく、新スタッフによるフリーフレームを大幅変更したアップグレード版になっています。例えば、Perlフレームワークが非推奨になったり、Bootstrap5を採用したりして、フロントエンドをアップグレードしています。また、グラフ作成用のJavaScriptライブラリを含むエンタープライズ機能を入手できるようになりました。この機能は商用ライセンスが必要になりますが、使い勝手を改善したバージョンといえます。
フリー・ライセンスというのが出来て、20ノードまでであれば、プロフェッショナル・ライセンスやエンタープライズ・ライセンスの機能も無料動作確認ができるようになっています。エージェントレスでインベントリ収集できるオープンソースとしては、安価にライセンス管理したいときなどは、かなりお勧めのツールになります。
今後は日本語表示が可能になるように改修しています。(暫くの間、日本語表示は弊社の保守サポートでそのパッチを提供致します。)
2019/02/25 桜井耕造
CentOS7の環境にOpenAudIT2.3.3をインストールする手順をご紹介します。
英字ですが、本家のサイトも参考になるかもしれません。
https://community.opmantek.com/display/OA/Linux+-+Installing+or+Upgrading#Linux-InstallingorUpgrading-CentOS/RedHatconsiderations
(1)SELinuxを無効
OSをインストールした後のディフォルトは、SELinuxが有効になっていますので、無効にします。
# setenforce 0 # vi /etc/selinux/config SELINUX=disabled(2)iptablesの無効化
# systemctl stop firewalld # systemctl disable firewalld # iptables -L(3)必要モジュールのインストール
# yum install wget # yum install perl-core # yum install httpd(4)MariaDBのインストール
# yum install mariadb mariadb-server # rpm -qa | grep mariadb mariadb-libs-5.5.60-1.el7_5.x86_64 mariadb-server-5.5.60-1.el7_5.x86_64 mariadb-5.5.60-1.el7_5.x86_64 # systemctl start mariadb # systemctl enable mariadbmariadbの初期設定をします。
# mysql_secure_installation Enter current password for root (enter for none): # Enter →rootのパスワードを入力します。初期状態はパスワードがないので、そのままEnter。 Set root password? [Y/n] New password: Re-enter new password: →rootのパスワードを設定して下さい。 Remove anonymous users? [Y/n] →匿名ユーザーを削除しますか? Disallow root login remotely? [Y/n] →rootのリモートログインを禁止しますか? Remove test database and access to it? [Y/n] →testデータベースを削除しますか? Reload privilege tables now? [Y/n] →権限を管理するテーブルを今リロードしますか? # cd /etc/my.cnf.d # vi server.cnf [mariadb-5.5] character-set-server = utf8mb4 # vi client.cnf [client-mariadb] default-character-set = utf8mb4 # systemctl restart mariadb(5)phpのインストール
# yum install libtool-ltdl # yum install php-ldap php-mbstring php-mcrypt # sed -i -e 's/memory_limit/;memory_limit/g' /etc/php.ini # echo "memory_limit = 512M" >> /etc/php.ini # sed -i -e 's/max_execution_time/;max_execution_time/g' /etc/php.ini # echo "max_execution_time = 300" >> /etc/php.ini # sed -i -e 's/max_input_time/;max_input_time/g' /etc/php.ini # echo "max_input_time = 600" >> /etc/php.ini # sed -i -e 's/error_reporting/;error_reporting/g' /etc/php.ini # echo "error_reporting = E_ALL" >> /etc/php.ini # sed -i -e 's/display_errors/;display_errors/g' /etc/php.ini # echo "display_errors = On" >> /etc/php.ini # sed -i -e 's/upload_max_filesize/;upload_max_filesize/g' /etc/php.ini # echo "upload_max_filesize = 10M" >> /etc/php.ini # sed -i -e 's/date.timezone/;date.timezone/g' /etc/php.ini # echo "date.timezone = "Asia/Tokyo"" >> /etc/php.ini # systemctl restart httpd # systemctl enable httpd(6)OpenAudITのインストール
# cd /tmp # wget http://dl-openaudit.opmantek.com/OAE-Linux-x86_64-release_2.3.3.run # sh ./OAE-Linux-x86_64-release_2.3.3.run Verifying archive integrity... All good. Uncompressing Open-AudIT 2.3.3  100%途中で何度かインストールの確認を求められる。また、パッケージの確認をして、既に入っているものもNot installedと判定されインストールしようとする。Yum list で該当のものがインストール済みか、確認しておく。
Open-AudIT (2.3.3) Installation script ++++++++++++++++++++++++++++++++++++++++++++++++++++++ This installer will install Open-AudIT into /usr/local/omk. To select a different installation location please rerun the installer with the -t option. Ok to proceed with installation? Type 'y' or <Enter> to accept, or 'n' to decline: y →OpenAuditをインストールして良いですか? Do you want to perform a backup of your installation directory? Type 'y' or <Enter> to accept, or 'n' to decline: y →インストールディレクトリをバックアップしてよいですか? ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Opmantek daemon init scripts detected ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Ok to shut down running Opmantek daemons for the duration of the installation? Type 'y' or <Enter> to accept, or 'n' to decline: y →Opmantekデーモンをシャットダウンしてよいですか? ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Opmantek daemon init scripts detected ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Ok to shut down running Opmantek daemons for the duration of the installation? Type 'y' or <Enter> to accept, or 'n' to decline: y →デーモンをシャットダウンしても良いですか? ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Some required packages are missing! ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Open-AudIT requires the following packages which are not installed: mariadb-server php-mysql The installer can use YUM to download and install these packages. Do you want to install these packages with YUM now? Type 'y' or <Enter> to accept, or 'n' to decline: y →yumでインストールしても良いですか? ++++++++++++++++++++++++++++++++++++++++++++++++++++++ performing post-installation operations ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Open-AudIT needs the live configuration files in /usr/local/omk/conf/, and ships the defaults in /usr/local/omk/install/. If you agree, the installer will copy all missing files to the live configuration directory - it will not overwrite any files that are already present. Ok to copy new or missing config files into the live configuration directory? Type 'y' or <Enter> to accept, or 'n' to decline: y →不足しているファイルをコピーしますが、良いですか? ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Configuration Updates ++++++++++++++++++++++++++++++++++++++++++++++++++++++ The new version of Open-AudIT may have introduced new configuration items, which can be added automatically (with their default settings). Do you want to import any new configuration settings now? Type 'y' or <Enter> to accept, or 'n' to decline: y →今すぐ新しい設定をインポートしますか? ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Open-AudIT Database Setup ++++++++++++++++++++++++++++++++++++++++++++++++++++++ We require the MySQL root user credentials to create the database and user. Enter the MySQL root user's password: →MySQLのrootのパスワードを入力して下さい。 ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Opmantek Daemon Startup ++++++++++++++++++++++++++++++++++++++++++++++++++++++ The Opmantek daemon can now be started. It needs to be active to provide the Open-AudIT GUI, but you might want to delay that operation until you have adjusted the configuration files. Do you want to start the Opmantek daemon now? Type 'y' or <Enter> to accept, or 'n' to decline: y →デーモンを起動しますか? If you have started the Opmantek daemon, then your new Open-AudIT dashboard should now be accessible at http://<HOSTNAME_OR_IP>/omk/open-audit/ If your browser is running on the same machine as Open-AudIT was installed onto, this would be http://localhost/omk/open-audit/ ++++++++++++++++++++++++++++++++++++++++++++++++++++++ installation complete. ++++++++++++++++++++++++++++++++++++++++++++++++++++++(6)OpenAudIT画面にログイン
インストールが完了したのち、下記サイトにアクセスする。エンタープライズ版のログインURL
http://<HOSTNAME_OR_IP>/omk/oae/
デフォルトユーザ:nmis/nm1888
管理者: admin/passwordコミュニティ版のログインURL
http://<HOSTNAME_OR_IP>/open-audit/index.php/logon
デフォルトユーザ:nmis/nm1888
管理者: admin/password
2018/12/17 平見知久
色々悩むところもありつつもOTOBO(OTRS)のCMDB機能とOpenAudITの連携の開発について、ちょっと書きます。
全体の概略はこちらを参照していただきたいのですが、ITSMConfigItemにかなりがっつり手を入れてさらにOpenAudITの値もまとめて参照できるようになっています。
見た目が派手なので紹介ページではこちらが軸になっていますが、地味(だけど重要)な修正としてアクセス制御の強化を入れています。バニラのOTOBO(OTRS)では、アクセス制御はクラス(コンピュータ/ソフトウェア/サーバ/..)単位なのですが、実際のユースケースを考えると少し厳しくて、東西で権限を分けて、西日本の担当者は西のサーバのみ、東日本の担当者は東のサーバのみ、全体の管理者は全サーバが見れる…といったことがなかなか難しい状況でした。今回はドサクサに紛れてCI毎にグループをつけてそのグループに所属していないとCIを見れないような修正を施しています。
グループでよいのか等は内部でさんざん議論したのですが、まあとりあえず必要なユースケースは満たせるかな、と。もちろん実際に使われていく中で出た課題については随時反映・機能強化していく予定ですのでご興味がある方はどうぞ。
2018/08/20 桜井耕造
((いつくしま AdvancedCMDB)) 構成管理の自動化
標準のOTOBO(OTRS)のCMDBを使用すると、インベントリ情報を自動的に取得できない、CIを閲覧するのに時間がかかるなどの課題に感じることはないだろうか。このパッケージは、チケットに格納されているホスト名をクリックすると、該当のホスト名のインベントリ情報をワンクリックで閲覧できるようになる機能です。インストールされているパッケージ名、CPU、メモリなどのデバイス情報を簡単に確認できるようになります。
この「構成管理の自動化(AdvancedCMDB)」は、当社のIT資産管理及び構成管理のをすぐに利用できる「((いつくしま)) CMDB ReadyToUse」と一緒に使うことで、インシデントや問題管理のチケットと連携ができて、業務効率化を実現できまできます。
