ThousandEyes の Enterprise Agent で無制限に sudo 出来るようにする

ThousandEyes の Enterprise Agent は Ubuntu ベースのアプライアンスです。デフォルトでは管理者権限がありませんが、te-va-unlock というパッケージをインストールすることで任意の sudo コマンドを利用することが出来ます。詳しくは Unlocking the ThousandEyes Appliance に書かれていますが、具体的には Enterprise Agent へ SSH ログインし、下記を実行するだけです。

sudo apt-get update
sudo apt-get install te-va-unlock

これで thousandeyes ユーザでパスワードを必要とせず、無制限に sudo コマンドが利用出来るようになりました。

Web 管理画面上の表示¶

Cloud & Enterprise Agents → Agent Settings から該当の Enterprise Agent をクリックすると詳細情報が表示されます。この表示内から Lock / Unlock いずれの状態なのか、確認することが出来ます。

Lock 状態の表示例¶

file

Unlock 状態の表示例¶

file

te-va-unlock¶

現時点で最新の te-va-unlock パッケージは下記のようです。

https://apt.thousandeyes.com/pool/main/t/te-va-unlock/te-va-unlock_0.224-1~focal_all.deb

このパッケージの内容は下記になっていました。

$ tar tf te-va-unlock_0.224-1~focal_all.deb
debian-binary
control.tar.xz
data.tar.xz

構造を保ったまま、ファイルを展開すると下記になります。

├── control
│   ├── control
│   └── postinst
├── data
│   ├── etc
│   │   └── sudoers.d
│   └── tmp
│       └── .te-va-sudoers-unlocked
└── debian-binary

ポイントとなる各ファイルの中身は下記でした。

control/control¶

Package: te-va-unlock
Maintainer: ThousandEyes <tevabuilder@thousandeyes.com>
Architecture: all
Version: 0.224-1~focal
Description: ThousandEyes Appliance Unlocker
 Package to unlock the ThousandEyes Appliance

control/postinst¶

#!/bin/bash

set -e

if [ -f /etc/sudoers.d/te-va-sudoers ]; then
    chmod 640 /etc/sudoers.d/te-va-sudoers
fi
mv /tmp/.te-va-sudoers-unlocked /etc/sudoers.d/te-va-sudoers
chmod 0440 /etc/sudoers.d/te-va-sudoers

service te-va restart

data/tmp/.te-va-sudoers-unlocked¶

1	`thousandeyes ALL=(ALL) NOPASSWD: ALL`