GCEのRHEL7インスタンスでは、bashスクリプトインストーラを使用してコマンドラインからインストールしたソフトウェアパッケージを使用します。インストーラは、ソフトウェアが実行されているユーザーxyzとグループxyzgroupを作成し、ユーザーxyzとインストーラーを実行したユーザー(gce_userなど)をxyzgroupグループに追加します。しかし、GCEグーグル・アカウント・daemon.service(GAD)は、定期的にグループxyzgroupからユーザーgce_userを削除します。メンバーシップを維持するグループにGCEユーザーを追加するにはどうすればよいですか?
sudo systemctl -l status google-accounts-daemon.service
[...]
Aug 03 23:36:18 rhel7-n4 usermod[7702]: delete 'gce_user' from group 'xyzgroup'
Aug 03 23:36:18 rhel7-n4 usermod[7702]: delete 'gce_user' from shadow group 'xyzgroup'
Aug 23 05:12:36 rhel7-n4 usermod[26008]: delete 'gce_user' from group 'xyzgroup'
Aug 23 05:12:36 rhel7-n4 usermod[26008]: delete 'gce_user' from shadow group 'xyzgroup'
Sep 05 20:59:26 rhel7-n4 usermod[21884]: delete 'gce_user' from group 'xyzgroup'
Sep 05 20:59:26 rhel7-n4 usermod[21884]: delete 'gce_user' from shadow group 'xyzgroup'
GADがグループxyzgroupからユーザーXYZを削除しませんが。インスタンスを作成するときにGCEクラウドコンソールを使用してgce_userというユーザーを作成し、そのユーザーにsshキーを追加しました。インストーラーはgce_userユーザーをxyzgroupグループに追加しましたが、それは保持されませんでした。私はsudo gpasswd -a gce_user xyzgroup
を使用してユーザーをグループに復元しましたが、それは持続しませんでした。私もsudo usermod -a -G xyzgroup gce_user
を使用してgce_userユーザーをグループxyzgroupに復元しましたが、それでもそれは存続しませんでした。 GADは、ユーザーがグループに追加されてから数日後にユーザーをグループから削除しました。
私はGCE Accounts daemon account_utils.py calls usermodは、グループにユーザーを追加することに注意してください:
command = ['usermod', '-G', groups, user]
GCEのドキュメントは、クラウドコンソールは(LinuxのOS)グループメンバーシップを含む(LinuxのOS)のユーザアカウントを管理するために使用することができると言います:https://cloud.google.com/compute/docs/access/user-accounts/#create_a_new_user_account
ただし、手順は次のとおりです。1. にアクセスします。
[ユーザーアカウント]ページへのリンクでは、プロジェクトを選択する必要があります。選択されたページは、ユーザーアカウントページではなく、プロジェクトの全体的なダッシュボードページです。ダッシュボードページ[ユーザーアカウント]の上部にある検索バーに入力し、ユーザーアカウント(サブタイトルIAM & Admin)をクリックすると、結果のページには「(!)読み込みに失敗しました」と表示されます。
gce_userをグループxyzusersに追加して、グループメンバーシップが維持され、GADによって削除されないようにするにはどうすればよいですか?私はxyzソフトウェアパッケージのインストーラbashスクリプトを修正できるので、コマンドラインが好きです。
コアのLinux管理機能のベースライン機能を有効にするために赤いテープの多くのように思えるが、私は、それを強調するためのおかげで、それを要求しました。 – Matthew
私はそれがセキュリティのためだと思います。彼らはそれをVMメタデータの一部にしたいと考えています。 – Dagang
正当な懸念はありますが、OSのグループメタデータ(つまり/ etc/groupなど)は、GCEコンテナサービスによって監視され、VMメタデータが生成されるだけです。あるいは、OSメタデータ(例えば、gpasswd、usermod)を維持するためのOSツールを改訂して、VMメタデータも管理します。システム管理者にGCloudツールも使用させるこのアーキテクチャは、悪いワークフローです。また、電子メールで許可されたホワイトリストの要求を強制することは、うまくいけばベータ版の成果物に過ぎないが、実際のリリースではインフラ全体が消えてしまうはずだ。 – Matthew