2016-09-07 11 views
1

GCEのRHEL7インスタンスでは、bashスクリプトインストーラを使用してコマンドラインからインストールしたソフトウェアパッケージを使用します。インストーラは、ソフトウェアが実行されているユーザーxyzとグループxyzgroupを作成し、ユーザーxyzとインストーラーを実行したユーザー(gce_userなど)をxyzgroupグループに追加します。しかし、GCEグーグル・アカウント・daemon.service(GAD)は、定期的にグループxyzgroupからユーザーgce_userを削除します。メンバーシップを維持するグループにGCEユーザーを追加するにはどうすればよいですか?

sudo systemctl -l status google-accounts-daemon.service 
[...] 
Aug 03 23:36:18 rhel7-n4 usermod[7702]: delete 'gce_user' from group 'xyzgroup' 
Aug 03 23:36:18 rhel7-n4 usermod[7702]: delete 'gce_user' from shadow group 'xyzgroup' 
Aug 23 05:12:36 rhel7-n4 usermod[26008]: delete 'gce_user' from group 'xyzgroup' 
Aug 23 05:12:36 rhel7-n4 usermod[26008]: delete 'gce_user' from shadow group 'xyzgroup' 
Sep 05 20:59:26 rhel7-n4 usermod[21884]: delete 'gce_user' from group 'xyzgroup' 
Sep 05 20:59:26 rhel7-n4 usermod[21884]: delete 'gce_user' from shadow group 'xyzgroup' 

GADがグループxyzgroupからユーザーXYZを削除しませんが。インスタンスを作成するときにGCEクラウドコンソールを使用してgce_userというユーザーを作成し、そのユーザーにsshキーを追加しました。インストーラーはgce_userユーザーをxyzgroupグループに追加しましたが、それは保持されませんでした。私はsudo gpasswd -a gce_user xyzgroupを使用してユーザーをグループに復元しましたが、それは持続しませんでした。私もsudo usermod -a -G xyzgroup gce_userを使用してgce_userユーザーをグループxyzgroupに復元しましたが、それでもそれは存続しませんでした。 GADは、ユーザーがグループに追加されてから数日後にユーザーをグループから削除しました。

私はGCE Accounts daemon account_utils.py calls usermodは、グループにユーザーを追加することに注意してください:

command = ['usermod', '-G', groups, user] 

GCEのドキュメントは、クラウドコンソールは(LinuxのOS)グループメンバーシップを含む(LinuxのOS)のユーザアカウントを管理するために使用することができると言います:https://cloud.google.com/compute/docs/access/user-accounts/#create_a_new_user_account

ただし、手順は次のとおりです。1. にアクセスします。

[ユーザーアカウント]ページへのリンクでは、プロジェクトを選択する必要があります。選択されたページは、ユーザーアカウントページではなく、プロジェクトの全体的なダッシュボードページです。ダッシュボードページ[ユーザーアカウント]の上部にある検索バーに入力し、ユーザーアカウント(サブタイトルIAM & Admin)をクリックすると、結果のページには「(!)読み込みに失敗しました」と表示されます。

gce_userをグループxyzusersに追加して、グループメンバーシップが維持され、GADによって削除されないようにするにはどうすればよいですか?私はxyzソフトウェアパッケージのインストーラbashスクリプトを修正できるので、コマンドラインが好きです。

答えて

1

クラウドユーザーアカウント機能は、ホワイトリストを必要とするベータ版です。

これはベータ版のユーザーアカウントです。この機能は後方互換性のない方法で変更される可能性があり、プロダクションでの使用には推奨されません。 SLAまたは非推奨ポリシーの対象にはなりません。この機能を使用するにはホワイトリストを要求してください。

https://cloud.google.com/compute/docs/access/user-accounts/#useraccountsgroups

+0

コアのLinux管理機能のベースライン機能を有効にするために赤いテープの多くのように思えるが、私は、それを強調するためのおかげで、それを要求しました。 – Matthew

+0

私はそれがセキュリティのためだと思います。彼らはそれをVMメタデータの一部にしたいと考えています。 – Dagang

+0

正当な懸念はありますが、OSのグループメタデータ(つまり/ etc/groupなど)は、GCEコンテナサービスによって監視され、VMメタデータが生成されるだけです。あるいは、OSメタデータ(例えば、gpasswd、usermod)を維持するためのOSツールを改訂して、VMメタデータも管理します。システム管理者にGCloudツールも使用させるこのアーキテクチャは、悪いワークフローです。また、電子メールで許可されたホワイトリストの要求を強制することは、うまくいけばベータ版の成果物に過ぎないが、実際のリリースではインフラ全体が消えてしまうはずだ。 – Matthew

関連する問題