Установка и первоначальная настройка системы

В настоящем разделе представлено описание установки и первоначальной настройки ARMA MC.

Примечание

Перед установкой следует убедиться, что ARMA MC находится в защищённом межсетевым экраном контуре, из которого исключён прямой (без защиты МЭ) доступ ARMA MC к сети Интернет.

Только после изменения предустановленного пароля значением, соответствующим актуальным требованиям ИБ, допускается использование ARMA MC с непосредственным доступом к сети Интернет.

Примечание

Если требуется установить ARMA MC в полностью закрытом контуре (без доступа в Интернет), следует обратиться в службу поддержки для получения дополнительных пакетов и инструкций.

Примечание

Установка должна проводиться от имени УЗ с ролью уровня «Администратор ОС» на чистую систему, не содержащую элементов предыдущей установки ARMA MC (если необходимо возобновить прерванную установку см. Не удалось установить ARMA MC настоящего руководства).

Установка

Примечание

Для корректной установки ARMA MC на ОС должна быть установлена русская локаль «ru_RU.UTF-8».

Порядок установки:

  1. Подключить сетевые репозитории в «/etc/apt/sources.list», если они были отключены.

  2. Установить необходимое ПО командой:

apt update && apt upgrade -y && apt install lsb-release bash curl jq gnupg nginx python3 python3-apt python3-pip python3-venv postgresql postgresql-contrib rabbitmq-server redis redis-server libpq-dev openssl ca-certificates sudo wget -y

Примечание

Для работы ARMA MC требуется «rsyslog». В большинстве дистрибутивов «Linux» пакет предустановлен, в ином случае его следует установить. Например, командой «apt install rsyslog».

После завершения необходимо убедиться, что версия Debian больше или равна «11.9». Например, воспользовавшись командой:

cat /etc/debian_version

  1. Cкачать и установить «elasticsearch» версии «7.12.0». Например, воспользовавшись командой:

wget https://mirror.yandex.ru/mirrors/elastic/7/pool/main/e/elasticsearch/elasticsearch-7.12.0-amd64.deb && dpkg -i elasticsearch-7.12.0-amd64.deb

Примечание

Приведённый в примере выше репозиторий является лишь одним из возможных вариантов. Выбор источника установки зависимостей остаётся на усмотрение администратора системы.

Примечание

Если при установленном «elasticsearch» выполнить обновление пакетов (например, «apt upgrade»), «elasticsearch» обновится до последней версии. В этом случае необходимо вернуть версию «7.12.0», повторно запустив установку пакета «elasticsearch-7.12.0-amd64.deb».

  1. Установить «UFW»:

sudo apt install ufw

Примечание

Проверить наличие и активный статус службы UFW можно командой: systemctl status ufw

В выдаче должно присутствовать «Active: active»

  1. Загрузить установочный пакет ARMA MC«InfoWatch-ARMA-Центр-Управления_[номер_версии].deb».

  2. Запустить установку ARMA MC, выполнив команду:

dpkg -i InfoWatch-ARMA-Центр-Управления_[номер_версии].deb

По окончании процесса установки будет выведено сообщение «Installation completed.».

Подключение к веб-интерфейсу

Для подключения к веб-интерфейсу необходимо открыть веб-браузер и ввести IP-адрес хоста, в результате будет отображена страница авторизации в веб-интерфейсе (см. Рисунок – Страница авторизации в веб-интерфейсе).

Рисунок – Страница авторизации в веб-интерфейсе

Примечание

Из соображений безопасности добавлено ограничение на период бездействия пользователя в веб-интерфейсе. Если авторизованный пользователь неактивен в течение 15 минут, сессия будет разорвана и потребуется повторная авторизация.

Для входа в веб-интерфейс необходимо указать учётные данные:

  • «Логин» – по умолчанию «admin»;

  • «Пароль» – по умолчанию «nimda»;

и нажать кнопку «Войти».

Примечание

Указанные выше логин и пароль являются установленными по умолчанию и используются при первоначальном входе. С целью обеспечения ИБ необходимо изменить данные после первоначального входа (см. Изменение пароля УЗ веб-интерфейса настоящего руководства).

В случае превышения допустимого количества неудачных попыток входа в систему пользователь будет временно заблокирован. Количество попыток и время блокировки пользователя задаётся в интерфейсе ARMA MC, описанном в разделе Аутентификация Руководства пользователя по эксплуатации ARMA MC.

После успешной аутентификации будет отображён раздел меню «Обзорная панель» (см. Рисунок – Обзорная панель).

Рисунок – Обзорная панель

Примечание

При первом подключении для успешной авторизации в ARMA MC необходимо активировать лицензию одним из способов, представленных в разделе Активация лицензии настоящего руководства.

Изменение пароля УЗ веб-интерфейса

Для изменения пароля УЗ веб-интерфейса необходимо выполнить следующие действия:

  1. Выполнить авторизацию в веб-интерфейсе (см. Подключение к веб-интерфейсу настоящего руководства).

  2. Открыть профиль пользователя, нажав на кнопку «bttn.profile».

  3. Пройти по ссылке «Управление профилем» «profile.mngmnt».

  4. На открывшейся странице профиля пользователя (см. Рисунок – Профиль пользователя) нажать на кнопку «Изменить пароль».

Рисунок – Профиль пользователя

  1. В поле «Текущий пароль» ввести действующий пароль.

  2. В поле «Новый пароль» ввести новый пароль.

Примечание

Предъявляются следующие требования к сложности пароля:

  • разрешено использование только латиницы;

  • должен содержать как минимум одну цифру;

  • должен содержать как минимум одну букву в верхнем регистре;

  • должен содержать как минимум одну букву в нижнем регистре;

  • должен содержать как минимум один спецсимвол;

  • пароль может содержать от 8-ми до 32-х символов;

  • новый пароль не может совпадать с текущим паролем.

  1. В поле «Повторить пароль» ввести пароль, идентичный введённому в поле «Новый пароль».

  2. Нажать кнопку «Изменить пароль».

  3. Нажать кнопку «Сохранить» в правом верхнем углу карточки «Профиль пользователя».

Подключение к ARMA MC по SSH

Настройка «UFW»

Разрешить входящие SSH-соединения возможно вводом следующей команды:

sudo ufw allow ssh

Для проверки состояния UFW необходимо ввести следующую команду:

sudo ufw status verbose

Если UFW включён, то в консоли будут перечисляться заданные правила.

Подключение к ARMA MC с применением двухфакторной аутентификации

Для подключения к ARMA MC с применением двухфакторной аутентификации необходимо настроить доступ к порталу авторизации ARMA FW:

  1. Перейти в веб-интерфейс ARMA FW.

  2. Создать разрешающие правила МЭ для необходимого интерфейса и применить изменения (см. раздел Настройка правил МЭ Руководства пользователя ARMA FW). Параметры правил представлены в списке (в качестве примера взят интерфейс OPT1):

  • Доступ к порталу авторизации:

    • «Действие» – «Разрешить (Pass)»;

    • «Интерфейс» – «OPT1»;

    • «Протокол» – «TCP»;

    • «Отправитель» – «OPT1 сеть»;

    • «IP-адрес назначения» – «Этот межсетевой экран»;

    • «Диапазон портов назначения» – «Другое/8000»;

    • «Описание» – «Доступ к порталу авторизации»;

  • Доступ к веб-серверу по HTTP:

    • «Действие» – «Разрешить (Pass)»;

    • «Интерфейс» – «OPT1»;

    • «Протокол» – «TCP»;

    • «Отправитель» – «OPT1 сеть»;

    • «IP-адрес назначения» – «[IP-адрес ARMA MC]»;

    • «Диапазон портов назначения» – «HTTP»;

    • «Описание» – «Разрешающее правило HTTP»;

  • Доступ к веб-серверу по HTTPS:

    • «Действие» – «Разрешить (Pass)»;

    • «Интерфейс» – «OPT1»;

    • «Протокол» – «TCP»;

    • «Отправитель» – «OPT1 сеть»;

    • «IP-адрес назначения» – «[IP-адрес ARMA MC]»;

    • «Диапазон портов назначения» – «HTTPS»;

    • «Описание» – «Разрешающее правило HTTPS».

  1. Настроить Radius-сервер (см. раздел Radius Руководства пользователя ARMA FW).

  2. Добавить зону авторизации (см. раздел Добавление портала авторизации Руководства пользователя ARMA FW).

Обязательные параметры зоны представлены в списке:

  • «Интерфейсы» – «OPT1»;

  • «Аутентификация через» – выбрать созданный Radius-сервер;

  • «Описание» – заполнить описание.

  1. Ввести в адресную строку веб-браузера IP-адрес ARMA MC.

  2. В появившейся форме входа ввести имя пользователя и пароль.

  3. Подтвердить вход в ARMA MC с помощью зарегистрированного второго фактора.

Монтирование внешнего ресурса

Внешний ресурс (система хранения данных) может использоваться для сохранения архивов в процессе ротации (см. раздел Экспорт файлов ротации Руководства пользователя ARMA MC).

Примечание

Важно правильно подключить внешний ресурс. Если ресурс будет недоступен в момент ротации, архив, который требовалось перенести на внешний ресурс, будет удалён.

ARMA MC не предъявляет особых требований к подключаемому ресурсу, но в целях обеспечения безопасности и корректной работы рекомендуется:

  1. Установить пакет «cifs-utils», если он не был установлен. Пакет можно установить, например, командой «apt install cifs-utils».

Примечание

В средах без доступа к внешним репозиториям пакет «cifs-utils» устанавливается из локального репозитория, зеркала или вручную из .deb пакетов. Рекомендуется заранее убедиться, что пакет присутствует в локальном репозитории. Для проверки наличия установленного пакета можно выполнить команду dpkg -l | grep cifs-utils.

  1. Задать «uid» и «gid» пользователя, из-под которого работает ARMA MC. «uid» может быть «armaconsole» или числовой идентификатор, а «gid»«www-data» или число. Данные для этого можно получить командой «id».

  2. Выставить права «644» для файлов и «755» для директории.

  3. Сохранить данные авторизации (логин и пароль), создать файл (например, по пути «/etc/samba/», если директория отсутствует, её можно создать самостоятельно) и записать туда эти данные.

Пример файла:

# /etc/samba/smbcreds
username=user
password=12345

Примечание

Для дополнительной безопасности можно файлу «/etc/samba/smbcreds» выдать права «600» и «chown root».

  1. Создать mount файлы. Имена файлов «.mount» и «.automount» должны содержать путь к точке монтирования в которой все слеши, кроме начального, заменяются на дефис. Например, для точки монтирования «/mnt/nfs/backups» имя файла должно быть «mnt-nfs-backups.mount».

Пример итогового mount файла:

# /etc/systemd/system/mnt-smb-backups.mount
[Unit]
Description=Automount SMB Fresh series

[Mount]
What=//172.16.241.74/secure_share
Where=/mnt/smb/backups
Type=cifs
Options=_netdev,iocharset=utf8,rw,file_mode=0644,dir_mode=0755,uid=armaconsole,gid=www-data,credentials=/etc/samba/smbcreds
TimeoutSec=10

[Install]
WantedBy=multi-user.target

# /etc/systemd/system/mnt-smb-backups.automount
[Unit]
Description=Automount SMB SAN

[Automount]
Where=/mnt/smb/backups
TimeoutIdleSec=60

[Install]
WantedBy=multi-user.target

Примечание

В примерах выше «What» – адрес smb/конечная папка, «Where» – точка монтирования.

  1. Для включения автомонтирования необходимо запустить automount unit файл, используя следующие команды:

systemctl daemon-reload
systemctl enable --now mnt-smb-backups.automount

Примечание

В mount файле кроме пути к папке необходимо задавать адрес самой SMB. Например, «//ip-smb/folder/name/».

После того как автомонтирование запущено, его статус можно проверить командой systemctl status mnt-smb-backups.automount. В выводе команды должен быть активный статус («Active: active»).