exec
exec
コマンドについて、以下に記します。
概要
exec
コマンドは yamory-cli をインストールした ローカルホストのスキャンを行ないます。
スキャンにはアクセストークンが必要です。
アクセストークンは、チーム設定画面より発行できます。
発行手順などはこちらを参照してください。
アクセストークンなどの設定は、コマンドフラグ、または設定ファイルで指定できます。
両方指定された場合の優先順位は以下の通りとなり、設定ファイルの設定が無視されます。
- コマンドフラグ(
--token
) > 設定ファイル(token
項目)
コマンドフラグ
Linux ホストをスキャンする場合
フラグ | 説明 |
---|---|
--config |
設定ファイルの場所 (省略時は ./config.yaml ) |
--token /-T |
ホストスキャンのアクセストークン |
--title /-t |
yamory サービス上表示されるスキャン対象の名前 (省略時は hostname コマンドの値) |
--identifier /-i |
ホスト識別子。ホスト識別子には 半角英数字 , - , _ のみ使用できます。 |
--distribution /-d |
ホストの OS |
--version /-v |
ホストのバージョン |
--openSystem /-o |
公開ホストの設定を true または false で指定 |
--tags |
ホストタグ名をカンマ区切りで指定 |
--useSudo |
スキャン時に sudo を使用するか否かを指定。デフォルト true |
--output |
ソフトウェア資産情報をローカルファイルに保存する場合に指定。ソフトウェア資産情報は yamory へ送信されません。 |
Windows ホストをスキャンする場合
フラグ | 説明 |
---|---|
--config |
設定ファイルの場所 (省略時は ./config.yaml ) |
--token /-T |
ホストスキャンのアクセストークン |
--title /-t |
yamory サービス上表示されるスキャン対象の名前 (省略時は hostname または $Env:Computername コマンドの実行結果) |
--winUpdateType |
更新プログラムの取得先を指定します。Windows Update を使用する場合は WU 、WSUS を使用する場合は WSUS を指定します (省略時は WU ) |
--identifier /-i |
ホスト識別子。ホスト識別子には 半角英数字 , - , _ のみ使用できます。 |
--openSystem /-o |
公開ホストの設定を true または false で指定 |
--tags |
ホストタグ名をカンマ区切りで指定 |
--output |
ソフトウェア資産情報をローカルファイルに保存する場合に指定。ソフトウェア資産情報は yamory へ送信されません。 |
--output
フラグについて
インターネットに接続できない環境で、ソフトウェア資産情報をローカルファイルに保存する場合に指定します。
出力されるファイル名は yamory_result_<yyyyMMddHHmm>_<hostname>.json
です。
また、--output
フラグを指定する場合 token
は省略可能です。
設定ファイル
設定ファイルは yaml 形式で記述します。直下に token
と hosts
キーを記述できます。
キー | 型 | 説明 |
---|---|---|
token | 文字列 | ホストスキャンのアクセストークン |
hosts | 配列 | スキャン対象の情報 |
hosts
スキャン対象のホストの情報です。
hosts に複数のホスト情報が記述されている場合、1番目のホスト情報のみが有効です。
下記のキーを記述できます。
Linux ホストをスキャンする場合
キー | 型 | 説明 |
---|---|---|
title | 文字列 | yamory サービス上表示されるスキャン対象の名前 (省略時は hostname コマンドの実行結果) |
identifier | 文字列 | ホスト識別子。ホスト識別子には 半角英数字 , - , _ のみ使用できます。 |
distribution | 文字列 | ホストの OS |
version | 文字列 | ホストのバージョン |
openSystem | 文字列 | 公開ホストの設定を true または false で指定 |
tags | 文字列 | ホストタグ名をカンマ区切りで指定 |
useSudo | 文字列 | スキャン時に sudo を使用するか否かを指定。デフォルト true |
Windows ホストをスキャンする場合
キー | 型 | 説明 |
---|---|---|
title | 文字列 | yamory サービス上表示されるスキャン対象の名前 (省略時は hostname または $Env:Computername コマンドの実行結果) |
winUpdateType | 文字列 | 更新プログラムの取得先を指定します。Windows Update を使用する場合は WU 、WSUS を使用する場合は WSUS を指定します (省略時は WU ) |
identifier | 文字列 | ホスト識別子。ホスト識別子には 半角英数字 , - , _ のみ使用できます |
openSystem | 文字列 | 公開ホストの設定を true または false で指定 |
tags | 文字列 | ホストタグ名をカンマ区切りで指定 |
identifier フラグ / パラメーターについて
yamory のホストスキャン機能では、ホストの一意性を特定するためにマシン ID(/etc/machine-id
の値)。Windows の場合はシリアルナンバー)を使用していますが、クラウド環境などでコピーしたイメージを利用する際にマシン ID が同値となり、意図せずスキャン結果を上書きしてしまうことがあります。
そのような場合に identifier
を設定することでスキャン情報の上書きを回避できます。
identifier
には、チーム内でホストごとに一意の値になるように設定してください。
distribution フラグ / パラメーター、および version フラグ / パラメーターについて
ホストの OS(distribution
)、およびバージョン(version
)が指定されている場合、 OS の自動判別が無効になります。
なお、現在 distribution
に指定できる値は以下の通りです。
- Amazon Linux:
amazon-linux
- CentOS:
centos
- Debian:
debian
- Oracle Linux:
oracle-linux
- Red Hat Enterprise Linux:
redhat
- Ubuntu:
ubuntu
openSystem フラグ / パラメーターについて
公開ホスト(外部ネットワークからパブリックアクセスが可能なホスト)として使用するかを指定できます。
公開ホストの場合は true
、非公開ホストの場合は false
を指定します。
openSystem
が未指定の場合、前回スキャン情報があればその状態を引き継ぎ、初回スキャン時は公開ホストとして登録されます。
本パラメータはトリアージレベルの計算に使用されます。
useSudo フラグ / パラメーターについて
yamory のホストスキャンでは、一部のディストリビューションにおいてホスト情報を取得するコマンドを実行する際に
no password で sudo
コマンドを実行できるか確認し、実行できる場合、sudo
コマンドを使用してホスト情報を取得しています。
スキャンを実行するユーザーにコマンドの実行制限がない場合、 useSudo
に false
を指定すると sudo
を使用せずにスキャンすることができます。
useSudo
は以下のディストリビューションでのみ有効です。
- Amazon Linux
- CentOS
- Oracle Linux
- Red Hat Enterprise Linux
wsusScanFilePath フラグ / パラメーターについて
インターネット、または WSUS などの Windows Update サービスに接続できない環境で Windows のホストスキャンを実施する場合に
Windows Update から提供されている cab ファイル(wsusscn2.cab
)を用いて未適用な更新プログラムを検出し脆弱性を検知できます。
wsusScanFilePath
には wsusscn2.cab
のフルパスを指定します。
wsusscn2.cab
は Microsoft社が運営する windowsupdate.com から入手します。
Windows で wsusscn2.cab
をダウンロードする場合以下を実行します。
curl.exe -sS -o C:\wsusscn2.cab http://download.windowsupdate.com/microsoftupdate/v6/wsusscan/wsusscn2.cab
また、cab ファイルを使用する場合、winUpdateType
には CAB
を指定する必要があります。
cab ファイルを使用したスキャンについては、よくある質問「 インターネットに繋がらない環境でWindowsホストをローカルスキャンできますか?」も参照ください。
設定ファイル例
Linux
token: xxxxx
hosts:
- title: "Linux-server"
identifier: "Change-to-unique-identifier-for-your-team!"
openSystem: true
tags: "tag1,tag2"
useSudo: false
Windows
token: xxxxx
hosts:
- title: "windows-server"
identifier: "Change-to-unique-identifier-for-your-team!"
winUpdateType: "WU"
openSystem: true
tags: "tag1,tag2"