Установка и первоначальная настройка системы

В настоящем разделе представлено описание установки и первоначальной настройки ARMA MC.

Примечание

Установка должна проводиться от имени УЗ с ролью уровня «Администратор ОС».

Установка

Примечание

Для корректной установки ARMA MC на ОС должна быть установлена русская локаль «ru_RU.UTF-8» и все пакеты ПО из следующего списка:

linux-image-amd64, lsb-release, acl, open-vm-tools, curl, jq, vim, gnupg, tcpdump, nginx, python3, python3-apt, python3-pip, python3-venv, python3-dev, postgresql, postgresql-contrib, rabbitmq-server, redis, redis-server, gcc, make, libpq-dev, openssl, ca-certificates, bash, default-jre, apt-utils, sudo, gettext, golang, elasticsearch (версия 7.12.0).

Загрузите установочный пакет ARMA MC – «InfoWatch-ARMA-Центр-Управления_[номер_версии].deb».

Запустите установку ARMA MC, выполнив команду:

dpkg -i InfoWatch-ARMA-Центр-Управления_[номер_версии].deb

По окончании процесса установки будет выведено сообщение «Installation completed.».

Подключение к веб-интерфейсу

Для подключения к веб-интерфейсу необходимо открыть веб-браузер и ввести IP-адрес хоста, в результате будет отображена страница авторизации в веб-интерфейсе (см. Рисунок – Страница авторизации в веб-интерфейсе).

Рисунок – Страница авторизации в веб-интерфейсе

Примечание

Из соображений безопасности добавлено ограничение на период бездействия пользователя в веб-интерфейсе. Если авторизованный пользователь неактивен в течение 15 минут, сессия будет разорвана и потребуется повторная авторизация.

Для входа в веб-интерфейс необходимо указать учётные данные:

• «Логин» – по умолчанию «admin»;

• «Пароль» – по умолчанию «nimda»;

и нажать кнопку «Войти».

Примечание

Указанные выше логин и пароль являются установленными по умолчанию и используются при первоначальном входе. С целью обеспечения ИБ следует изменить данные после первоначального входа.

После успешной аутентификации будет отображён раздел меню «Обзорная панель» (см. Рисунок – Обзорная панель).

Рисунок – Обзорная панель

Примечание

При первом подключении для успешной авторизации в ARMA MC необходимо активировать лицензию одним из способов, представленных в разделе Активация лицензии.

Изменение пароля УЗ веб-интерфейса

Для изменения пароля УЗ веб-интерфейса необходимо выполнить следующие действия:

1. Выполнить авторизацию в веб-интерфейсе (см. Подключение к веб-интерфейсу).

2. Открыть профиль пользователя, нажав на кнопку «».

3. Пройти по ссылке «Управление профилем» «».

4. На открывшейся странице профиля пользователя (см. Рисунок – Профиль пользователя) нажать на кнопку «Изменить пароль».

Рисунок – Профиль пользователя

5. В поле «Текущий пароль» ввести действующий пароль.

6. В поле «Новый пароль» ввести новый пароль.

Примечание

Предъявляются следующие требования к сложности пароля:

• разрешено использование только латиницы;

• должен содержать как минимум одну цифру;

• должен содержать как минимум одну букву в верхнем регистре;

• должен содержать как минимум одну букву в нижнем регистре;

• должен содержать как минимум один спецсимвол;

• пароль может содержать от 8-ми до 32-х символов;

• новый пароль не может совпадать с текущим паролем.

7. В поле «Повторить пароль» ввести пароль, идентичный введённому в поле «Новый пароль».

8. Нажать кнопку «Изменить пароль».

9. Нажать кнопку «Сохранить» в правом верхнем углу карточки «Профиль пользователя».

Подключение к ARMA MC по SSH

Настройка «nftables»

Для настройки сервиса «nftables» необходимо выполнить следующие действия:

1. Открыть конфигурационный файл, введя команду:

nano /etc/nftables.conf

2. В области «type filter hook input priority filter; policy drop;» в параметре порта назначения «tcp dport» указать порт «22» (см. Рисунок – Значение параметра «tcp dport»).

Рисунок – Значение параметра «tcp dport»

3. Сохранить изменения в файле комбинацией клавиш «Ctrl» + «O».

4. Выйти из режима изменения комбинацией клавиш «Ctrl» + «Х».

5. Перезагрузить службу «nftables», введя команду:

systemctl restart nftables

При необходимости получения доступа с конкретных IP-адресов или сетей, в конфигурационном файле следует ввести следующую команду:

ip saddr [IP-адрес источника] accept

[IP-адрес источника] может быть представлен следующими вариантами:

• IP-адресом узла (см. Рисунок – IP-адрес узла);

Рисунок – IP-адрес узла

• группой IP-адресов (см. Рисунок – Группа IP-адресов);

Рисунок – Группа IP-адресов

• IP-адресом сети (см. Рисунок – IP-адрес сети);

Рисунок – IP-адрес сети

• комбинацией IP-адреса узла и сети (см. Рисунок – Комбинация IP-адреса узла и сети).

Рисунок – IP-адрес сети

Подключение к ARMA MC с применением двухфакторной аутентификации

Для подключения к ARMA MC с применением двухфакторной аутентификации необходимо настроить доступ к порталу авторизации ARMA FW:

1. Перейти в веб-интерфейс ARMA FW.

2. Создать разрешающие правила МЭ для необходимого интерфейса и применить изменения (см. раздел Настройка правил МЭ «Руководства пользователя ARMA FW»). Параметры правил представлены в списке (в качестве примера взят интерфейс OPT1):

• Доступ к порталу авторизации:

  • «Действие» – «Разрешить (Pass)»;

  • «Интерфейс» – «OPT1»;

  • «Протокол» – «TCP»;

  • «Отправитель» – «OPT1 сеть»;

  • «IP-адрес назначения» – «Этот межсетевой экран»;

  • «Диапазон портов назначения» – «Другое/8000»;

  • «Описание» – «Доступ к порталу авторизации»;

• Доступ к веб-серверу по HTTP:

  • «Действие» – «Разрешить (Pass)»;

  • «Интерфейс» – «OPT1»;

  • «Протокол» – «TCP»;

  • «Отправитель» – «OPT1 сеть»;

  • «IP-адрес назначения» – «[IP-адрес ARMA MC]»;

  • «Диапазон портов назначения» – «HTTP»;

  • «Описание» – «Разрешающее правило HTTP»;

• Доступ к веб-серверу по HTTPS:

  • «Действие» – «Разрешить (Pass)»;

  • «Интерфейс» – «OPT1»;

  • «Протокол» – «TCP»;

  • «Отправитель» – «OPT1 сеть»;

  • «IP-адрес назначения» – «[IP-адрес ARMA MC]»;

  • «Диапазон портов назначения» – «HTTPS»;

  • «Описание» – «Разрешающее правило HTTPS».

3. Настроить Radius-сервер (см. раздел Radius Руководства пользователя ARMA FW).

4. Добавить зону авторизации (см. раздел Добавление портала авторизации Руководства пользователя ARMA FW).

Обязательные параметры зоны представлены в списке:

• «Интерфейсы» – «OPT1»;

• «Аутентификация через» – выбрать созданный Radius-сервер;

• «Описание» – заполнить описание.

5. Ввести в адресную строку веб-браузера IP-адрес ARMA MC.

6. В появившейся форме входа ввести имя пользователя и пароль.

7. Подтвердить вход в ARMA MC с помощью зарегистрированного второго фактора.