Astra linux ossec настройка
В данном руководстве описан процесс установки и первичной конфигурации операционной системы Astra Linux Common Edition (Релиз "Орел", версия 2.12) в целях последующей установки под данной операционной системой программных средств Платформы НЕЙРОСС. Приводимые в настоящем руководстве инструкции описывают лишь один из возможных способов установки и настройки программных средств.
Загрузка дистрибутива ОС
Запишите загруженный ISO-образ на установочный носитель (DVD-диск / USB-флешку).
По вашему запросу компания ИТРИУМ может предоставить дистрибутив операционной системы.
Установка операционной системы
Задайте разметку дисков.
Системными требованиями обусловлено наличие выделенного под ОС диска. В этом случае используйте опцию Guided — use entire disk (Использовать весь диск).
При наличии одного физического диска (не рекомендуемый вариант), необходимо создать как минимум два логических раздела на данном диске — для операционной системы и для данных (медиаданные, резервные копии и др.). Для этого выберите Вручную и выделите под раздел операционной системы только часть носителя. Раздел для данных можно создать как на данном этапе, так и впоследствии — см. раздел Подготовка накопителей.
Дождитесь окончания процесса установки и извлеките установочный диск для загрузки ОС.
Настройка сетевых параметров
Для корректной работы требуется фиксированный IP-адрес сервера. Задайте сетевые параметры вручную или используйте DHCP, который всегда для данного MAC выдаёт один и тот же IP-адрес.
Отключите network-manager. Для этого, откройте терминал Fly и выполните следующую команду:
sudo apt remove network-manager -y
После отключения network-manager перезагрузите систему.
Откройте терминал Fly и выведите список подключённых сетевых устройств:
В тексте вывода обратите внимание на первую строку:
eth0 - это и есть искомое имя сетевого интерфейса . С етевые интерфейсы могут иметь и другие имена. В результате eth0 может называться, например enp0s3 или eno1 , или даже enx78e7d1ea46da . Именно это имя сетевого адаптера и нужно использовать в настройке сети.
Рассмотрим пример настройки одного сетевого интерфейса со статическим IP-адресом. Выполните команду открытия файла /etc/network/interfaces в текстовом редакторе:
Допишите блок кода (вместо eth0 впишите имя вашего интерфейса):
auto eth0
iface eth0 inet static
address 10.1 . 29.37
netmask 255.248 . 0.0
gateway 10.0 . 1.1
dns-nameservers 10.1 . 31.1
auto eth0 — флаг автоматического включения сетевого интерфейса eth0 при загрузке системы;
iface eth0 inet static — интерфейс ( iface eth0 ) находится в диапазоне адресов IPv4 ( inet ) со статическим ip ( static );
address 10.1.29.37 — IP адрес (address) сетевой карты;
netmask 255.248.0.0 — маска подсети (netmask);
gateway 10.0.1.1 — адрес шлюза ( gateway );
dns-nameservers 10.1.31.1 — адреса DNS серверов;
Сохраните изменения: нажмите Ctrl+X, введите Y (для подтверждения изменений) и нажмите Enter.
Настройка репозиториев
Для установки необходимых системных компонентов необходимо произвести настройку репозиториев Astra Linux.
Выполните команду открытия файла /etc/apt/sources.list в текстовом редакторе:
Измените блок кода и приведите его к следующему виду:
Установка системных компонентов
Для работы Платформы НЕЙРОСС необходимо установить и настроить Java 1.8 (ГосJava) и некоторые системные утилиты (ntpdate и др.). Приведённые ниже инструкции предполагают, что у целевой операционной системы корректно настроен сетевой интерфейс и есть доступ в сеть Интернет. В отсутствие доступа в сеть Интернет вы можете загрузить необходимые deb-пакеты, перенести их на целевую систему и установить их вручную.
Установка ГосJava
Создайте файл /etc/apt/sources.list.d/gosjava.list:
Добавьте в него следующую строку:
Сохраните изменения: нажмите Ctrl+X, введите Y (для подтверждения изменений) и нажмите Enter.
Добавьте цифровой ключ подписи в APT.
Проверить корректность установки java вы можете с помощью команды:
Установка необходимых системных компонентов
Установка и настройка NTP-сервера
Все узлы сети НЕЙРОСС должны быть синхронизированы по времени. Для этого каждый узел выполняет периодическую синхронизацию времени с NTP-сервером, адрес которого задан в настройках узла.
Платформа НЕЙРОСС автоматически выполняет синхронизацию времени с указанным в настройках NTP-сервером. Если сервер Платформы НЕЙРОСС должен сам выступать в роли NTP-сервера для других узлов НЕЙРОСС, то необходимо установить системный сервис NTP-сервера.
Проверьте, правильно ли установлена временная зона:
При необходимости, выполните перенастройку:
Установите демон NTP-сервера:
Если сервер должен быть основным источником времени (должен «доверять» сам себе), то отредактируйте файл /etc/ntp.conf в текстовом редакторе:
Поместите следующее содержимое в файл /etc/ntp.conf :
После переконфигурации NTP-сервера может потребоваться 10-15 минут, чтобы применить новые настройки. В течение этого времени синхронизация с этим NTP-сервером может быть всё ещё недоступна.
Подготовка накопителей
Для обработки медиаданных (импорта, экспорта и пр.) требуется хотя бы один накопитель. В роли накопителей в Платформе НЕЙРОСС выступают разделы (partitions) на жёстких дисках. Платформа НЕЙРОСС использует все смонтированные разделы с файловыми системами типов Ext4, Ext2, NTFS, VFAT за исключением корневого раздела (смонтированного в / ), однако для медиаданных рекомендуется выделить отдельный физический диск/диски.
В подавляющем большинстве случаев достаточно простого физического подключения диска, но иногда требуется смонтировать раздел для диска вручную.
-
Выполните физическое подключение диска и загрузите операционную систему.
Выполните поиск всех доступных дисков и разделов:
Название жёсткого диска в Linux зависит от интерфейса, через который он подключён. Название может начинаться на:
sd — устройство, подключённое по SCSI (сюда входят жёсткие диски, USB-флешки и ATA-диски, которые подключаются к SCSI через специальный переходник);
hd — устройство ATA;
vd — виртуальное устройство;
mmcblk — обозначаются флешки, подключённые через картридер;
Третья буква в имени диска означает его порядковый номер в системе: sda - первый диск, sdb - второй диск, sdc - третий и так далее. Дальше следует цифра - это номер раздела на диске - sda1, sda2.
Пример вывода команды (два диска: sda и sdb, диск sdb не имеет таблицы разделов):
Создайте точку монтирования раздела:
Отформатируйте диск в файловую систему ext4 с помощью утилиты mkfs :
Где:
/dev/sdb — форматируемый диск.
Где:
/dev/sdb — монтируемый диск;
/storage — выделенный раздел для диска.
Для решения задач централизованного протоколирования и анализа журналов аудита, а также для организации распределенного мониторинга сети, жизнеспособности и целостности серверов в Astra Linux используется программное решение Zabbix, реализованное на web-сервере Apache, СУБД (MySQL, Oracle, PostgreSQL, SQLite) и языке сценариев PHP.
Zabbix предоставляет гибкий механизм сбора данных. Все отчеты и статистика Zabbix, а также параметры настройки компонентов Zabbix доступны через web-интерфейс. В web-интерфейсе реализован следующий функционал:
- Вывод отчетности и визуализация собранных данных;
- Создание правил и шаблонов мониторинга состояния сети и узлов;
- Определение допустимых границ значений заданных параметров;
- Настройка оповещений;
- Настройка автоматического реагирования на события безопасности.
Zabbix состоит из следующих основных программных компонентов:
- Сервер --- является основным компонентом, который выполняет мониторинг, взаимодействует с прокси и агентами, вычисляет триггеры, отправляет оповещения. Является главным хранилищем данных конфигурации, статистики, а также оперативных данных;
- Агенты --- разворачиваются на наблюдаемых системах для активного мониторинга за локальными ресурсами и приложениями и для отправки собранных данных серверу или прокси;
- Прокси --- может собирать данные о производительности и доступности от имени сервера. Прокси является опциональной частью Zabbix и может использоваться для снижения нагрузки на сервер;
- База данных --- вся информация о конфигурации, а также собранные Zabbix данные, хранятся в базе данных;
- Web-интерфейс --- используется для доступа к Zabbix из любого места и с любой платформы.
Zabbix может использоваться с СУБД PostgreSQL или с СУБД MySQL. Выбор СУБД осуществляется при установке пакета
Установку пакета Zabbix можно осуществить с помощью графического менеджера пакетов или из командной строки.
Установка сервера Zabbix с СУБД PostgreSQL выполняется командой:
sudo apt install zabbix-server-pgsql zabbix-frontend-php
Установка сервера Zabbix с СУБД MySQL выполняется командой:
sudo apt install zabbix-server-mysql zabbix-frontend-phpДля создания базы данных сервера используются сценарии по созданию базы данных для PostgreSQL, например:
psql -U <username>
create database zabbix;
cd database/postgresql
psql -U <username> zabbix < schema.sql
psql -U <username> zabbix < images.sql
psql -U <username> zabbix < data.sql
Далее необходимо импортировать исходную схему и данные сервера на PostgreSQL:
zcat /usr/share/zabbix-server-pgsql/create.sql.gz | psql -U <username> zabbix
Для настройки базы данных сервера откорректировать конфигурационный файл zabbix_server.conf:
DBHost=localhostDBName=zabbix
DBUser=zabbix
DBPassword=<пароль>
При этом в параметре DBPassword указывается пароль пользователя PosgreSQL.
Основные параметры конфигурационного файла сервера приведены в таблице:
Разрешение серверу запускаться от имени пользователя root.
Если запуск от имени root не разрешен (значение "0"), а сервер запускается от имени root, то сервер попробует переключиться на пользователя zabbix.
Если сервер запускается от имени обычного пользователя, то параметр игнорируется. Значение по умолчанию --- 0.
Сервер работает как демон. Для запуска сервера выполнить команду:
sudo systemctl start zabbix-server
Для остановки, перезапуска и просмотра состояния сервера используются стандартные команды systemctl:
sudo systemctl stop zabbix-server
sudo systemctl restart zabbix-server
sudo systemctl status zabbix-server
Для нормальной работы сервера необходимо использовать локаль UTF-8, иначе некоторые текстовые элементы данных могут интерпретироваться некорректно.
В следующей таблице приведены основные параметры, используемые при управлении сервером.
Путь к файлу конфигурации.
Значение по умолчанию /usr/local/etc/zabbix_server.conf.
-R --runtime-control <опция>
Запуск процедуры очистки базы данных. Игнорируется, если процедура очистки выполняется в данный момент.
Пример:
zabbix_server -c /usr/local/etc/zabbix_server.conf -R housekeeper_execute
Агенты устанавливаются на контролируемые компьютеры и могут выполнять пассивные и активные проверки:
- При пассивной проверке агент отвечает на запрос от сервера или прокси;
- При активной проверке агент получает от сервера перечень данных для мониторинга, затем осуществляет периодический сбор и отправку данных серверу согласно полученному перечню.
Выбор между пассивной и активной проверкой осуществляется выбором соответствующего типа элемента данных. Агент обрабатывает элементы данных типов <<Zabbix агент>> и <<Zabbix агент (активный)>>.
Установка и настройка агента в UNIX
Для установки агента в UNIX-системах выполнить команду:
sudo apt install zabbix-agent
Агент UNIX работает как демон, для запуска выполнить команду:
sudo systemctl start zabbix-agent
Для остановки, перезапуска и просмотра состояния агента UNIX используются стандартные команды systemct:
sudo systemctl stop zabbix-agent
sudo systemctl restart zabbix-agent
sudo systemctl status zabbix-agent
Установка и настройка агента в Windows
В среде Windows агент работает как служба Windows. Агент Windows распространяется в виде zip-архива.
Файл агента bin\win64\zabbix_agentd.exe и файл конфигурации conf\zabbix_agentd.win.conf из zip-архива необходимо скопировать в один каталог, например, в C:\zabbix.
При необходимости - откорректировать конфигурационный файл c:\zabbix\zabbix_agentd.win.conf.
Для установки агента Windows как службы используется следующая команда:
C:\> c:\zabbix\zabbix_agentd.exe -c c:\zabbix\zabbix_agentd.win.conf -i
Основные параметры конфигурационного файла агента.
Основные параметры конфигурационного файла агента приведены в таблице:
Параметр | Описание |
---|---|
AllowRoot | Параметр используется только для агентов UNIX. Разрешение агенту запускаться от имени пользователя root. Если запускаться от имени root не разрешено (значение "0") , а агент запускается от имени root, то он попробует переключиться на пользователя zabbix. Если агент запускается от имени обычного пользователя, то параметр игнорируется. Значение по умолчанию --- 0. |
EnableRemoteCommands |
Указывает, разрешены ли удаленные команды с сервера:
- 0 — Не разрешены;
- 1 --- Разрешены.
- file --- запись журнала в файл, указанный в параметре LogFile;
- system--- запись журнала в syslog (для агентов UNIX) или в журнал событий Windows (для агентов Windows);
- console --- вывод журнала в стандартный вывод
- unencrypted --- принимать подключения без защитного преобразования данных (по умолчанию);
- psk --- принимать подключения с TLS и pre-shared ключом (PSK);
- cert --- принимать подключения с TLS и сертификатом
Обязательный параметр если заданы TLS-сертификат или параметры PSK, в противном случае --- нет.
Как агент должен соединяться с сервером или прокси.
Используется активными проверками. Можно указать только одно из значений:
- unencrypted --- подключаться без использования защитного преобразования данных (по умолчанию);
- psk --- подключаться, используя TLS и pre-shared ключом (PSK);
- cert --- подключаться, используя TLS и сертификат
Управление агентом
Основные параметры, используемые при управлении агентом, приведены в таблице:
-c --config <файл_конфигурации>|
-t --test <ключ_элемента_данных>
-R --runtime-control <опция>
Увеличение уровня журналирования, действует на все процессы, если цель не указана.
В качестве цели может быть указан идентификатор процесса, тип процесса или тип и номер процесса, например:
zabbix_agentd -R log_level_increase
zabbix_agentd -R log_level_increase=1234|
zabbix_agentd -R log_level_increase=listener,2
Уменьшение уровня журналирования, действует на все процессы, если цель не указана.
В качестве цели может быть указан идентификатор процесса, тип процесса или тип и номер процесса, например:
zabbix_agentd -R log_level_decrease="active checks"
Для прокси требуется отдельная база данных. Для установки прокси с PostgreSQL выполнить команду:
sudo apt install zabbix-proxy-pgsql
Для создания базы данных прокси используются сценарии по созданию базы данных для PostgreSQL, например:
psql -U <username>
create database zabbix;
\q
cd database/postgresql
psql -U <username> zabbix < schema.sql
Далее необходимо импортировать исходную схему и данные прокси на PostgreSQL:
zcat /usr/share/doc/zabbix-proxy-pgsql/create.sql.gz | psql -U <username> zabbix
Для настройки базы данных прокси изменить конфигурационный файл zabbix_proxy.conf.
DBHost=localhostDBName=zabbix
DBUser=zabbix
DBPassword=<пароль>
В параметре DBPassword указать пароль пользователя PosgreSQL.
Основные параметры конфигурационного файла прокси приведены в таблице:
Разрешение прокси запускаться от имени пользователя root.
Если запуск от иемни root не разрешен (значение <<0>>), а прокси запускается от имени root, прокси попробует переключиться на пользователя zabbix.
Если прокси запускается от имени обычного пользователя параметр игнорируется. Значение по умолчанию --- 0.
Частота получения данных конфигурации от сервера, в секундах.
Параметр активного прокси, игнорируется пассивными прокси (см. параметр ProxyMode).
Возможные значения от 1 до 604800 сек., значение по умолчанию --- 3600 сек.
Частота отправки собранных значений серверу, в секундах.
Параметр активного прокси, игнорируется пассивными прокси (см. параметр ProxyMode|). Возможные значения от 1 до 3600 сек., значение по умолчанию --- 1 сек.
Режим работы прокси:
- 0 --- прокси в активном режиме;
- 1 --- прокси в пассивном режиме
IP-адрес или имя сервера для доступа к данным конфигурации с сервера.
Параметр активного прокси, игнорируется пассивными прокси (см. ProxyMode).
Обязательный параметр если заданы TLS-сертификат или параметры PSK, в противном случае --- нет. Указывает, какие входящие подключения принимаются от сервера. Используется пассивным прокси, игнорируется активным прокси.
Можно указывать несколько значений, разделенных запятой:
- unencrypted --- принимать подключения без использования защитного преобразования данных (по умолчанию);
- psk --- принимать подключения с TLS и pre-shared ключом (PSK);
- cert --- принимать подключения с TLS и сертификатом
Обязательный параметр если заданы TLS-сертификат или параметры PSK, в противном случае --- нет. Как прокси должен соединяться с сервером. Используется активным прокси, игнорируется пассивным прокси.
Можно указать только одно из значений:
- unencrypted --- подключаться без использования защитного преобразования данных (по умолчанию);
- psk --- подключаться, используя TLS и pre-shared ключом (PSK);
- cert --- подключаться, используя TLS и сертификат
Прокси работает как демон. Для запуска прокси выполнить команду:
systemctl start zabbix-proxy
Соответственно для остановки, перезапуска и просмотра состояния прокси используются следующие команды:
systemctl stop zabbix-proxy
systemctl restart zabbix-proxy
systemctl status zabbix-proxy
Настройка пакета ossec-web осуществляется на сервере.Дать права для пользователя audit-user к файлам сервиса ossec и web-интерфейсу:
Пользователю www-data необходимо дать права для просмотра директории /var/www/ossec:
В файлах /etc/php5/apache2/php.ini и /etc/php5/cli/php.ini в секцию нужно добавить параметр . Системную временную зону можно посмотреть в файле /etc/timezone. Например, Europe/Moscow.Web-интерфейс доступен через браузер по адресу: susrv/ossec/prog/UnitList.php. Для каждого агента будет создана директория с его именем в /var/www/ossec/data/.
Incron
Для появления событий в web-интерфейсе достаточно перезапустить сервис incron:
service incron restart
Дать доступ для пользователя ossec к данному файлу:
Настройка на сервере:
Для установки web-интерфейса и серверной части сервиса ossec требуется установить пакет ossec-web со всеми зависимостями.
apt-get install ossec-web
Установка данного пакета повлечет за собой установку следующих пакетов:
Создать каталог для хранения логов и дать доступ для пользователя ossec. Права удобно назначить с помощью расширенных атрибутов доступа ACL.
cp /var/ossec/etc/10-ossec-syslog.conf /etc/rsyslog.d/
service rsyslog restart
Настройка ossec-сервера
После выполнения вышеперечисленных действий необходимо перезапустить сервер, чтобы изменения вступили в силу:
Все агентские машины должны быть добавлены на сервере через интерактивную команду /var/ossec/bin/manage_agents всех агентов, указав их имя и IP-адрес и экспортировать ключ.После подключения нового агента необходимо перезапустить сервер.
Ввод Astra Linux в домен Windows
Разблокирование суперпользователя (root)
Для более удобной работы разблокируем учётную запись root:
Назначим пароль для учётной записи root:
Настройка сети
Строку с 127.0.1.1 ws3 удалить.Убедиться, что в файле /etc/hostname правильно указано имя машины:
/etc/hostname
Назначим статический ip-адрес. В файл /etc/network/interfaces добавить строки:
/etc/network/interfaces
Создать файл /etc/resolv.conf и добавить строки:
/etc/resolv.conf
sudo service networking restart
ip a
ping dc.dev.local
sudo ntpdate dc.dev.local
Установка требуемых пакетов
Проверить установлены ли samba, winbind, ntp, apache2 и postgresql:
sudo dpkg -l samba winbind ntp apache2 postgresql
Установить дополнительные пакеты (потребуется диск с дистрибутивом):
Настройка конфигурационных файлов
Редактируем файл /etc/krb5.conf и добавляем недостающую информацию в соответствующие разделы:
Редактируем файл /etc/samba/smb.conf. Если каких-то параметров нет, то добавляем:
Внимание! Если в дальнейшем будет изменятся конфигурационный файл samba, обязательно требуется очистка /var/cache/samba/* и /var/lib/samba/*
Проверим нет ли ошибок в конфигурации samba, выполнив команду:
Редактируем файл /etc/security/limits.conf. Добавляем в конец:
/etc/security/limits.conf
Редактируем файл /etc/pam.d/common-session. Добавляем в конец:
sudo net ads join -U Administrator
sudo net ads keytab list
Настройка Apache и Postgresql на работу с Kerberos
Редактируем файл /etc/apache2/sites-available/default. Настраиваем директорию на использование Kerberos:
Принципал, задаваемый параметром KrbServiceName, должен быть в файле таблицы ключей /etc/krb5.keytab. Проверить можно командой:
Редактируем файл /etc/postgresql/9.4/main/pg_hba.conf:
Назначим права для пользователя postgres, от имени которого работает Postgresql, для доступа к macdb и к файлу таблицы ключей:
sudo service postgresql restart
Добавление принтера через web интерфейс CUPS
Для удаленного использования сервера печати необходимо от имени администратора через механизм sudo выполнить следующие команды:
и вставить следующую строку:
Значение параметра DefaultAuthType должно быть Basic.
Перезапустить сервис печати CUPS командой:
sudo service cups status
Для дальнейшей настройки открыть браузер и ввести адрес:
Убедитесь в правильности настроек, нажав на кнопку Print Test Page (Печать тестовой страницы) в выпадающем меню Maintenance (Обслуживание). Если принтер не печатает, но вы уверены в правильности всех настроек, попытайтесь сменить драйвер принтера на другой.
Настройка авторизации
Если не настроена авторизация через Kerberos, по умолчанию для всех ресурсов будет использоваться авторизация через , при этом будет использоваться пользовательская БД, прописанная в настройках ОС. Логин и пароль пользователя будут передаваться от пользователя к серверу в открытом виде с использованием метода аутентификации . Для корректного функционирования авторизации через пользователю, от которого работает web-сервер (по умолчанию — ), необходимо выдать права на чтение информации из БД пользователей и сведений о метках безопасности. Например, добавить права на чтение файла
и права на чтение каталога :
Если у вас уже есть настроенный и доступный DNS-сервер (собственный, или сервер провайдера), создание в локальной сети кеширующего DNS-сервера позволит без особых затрат ускорить работу с Интернет за счет ускорения разрешения имен по запросам различных сетевых служб и/или пользовательскими программами.
Для примера предположим, что у нас есть:
сервер DNS с адресом 192.168.32.211
Для создания кеширующего dns-сервера
раскомментируем в файле конфигурации /etc/bind/named.conf.options строки
- указываем адреса используемых DNS-серверов, которым нужно передавать запросы (для примера взяты адреса DNS-серверов Google)
- и, в этом примере, отключаем авторизацию dnssec (использование dnssec будет рассмотрено позже)
Можно , но не обязательно, ещё добавить список интерфейсов компьютера, через сервис DNS должен принимать запросы:
и перезапускаем сервис
sudo systemctl restart bind9
Настройка пользовательских компьютеров
На пользовательском компьютере использовать команду:
В файле /etc/nsswitch.conf добавить слово winbind параметры password и group:
Чтобы пользователи AD после аутентификации могли менять свой пароль из командной строкив файле /etc/pam.d/common-password из строки убрать слово
Предупреждение: Использование контроллера домена как файлового сервера
Несмотря на то, что Samba в режиме AD DC может предоставлять услуги разделения файлов так же, как и в любом другом режиме применения, разработчкики Samba не рекомендуют использовать DC как файловый север по следующим причинам:
- Для всех организаций, за исключением самых маленьких, наличие более, чем одного DC, является реально хорошим способом резервирования, повышающим безопасность обновлений;
- Отсутствие сложных данных и влияния на другие сервисы позволяет обновлять DC совместно с ОС хоста каждые год или два;
- Обновления могут выполняться путем установки новых версий, или внесения изменений, которые лучше проверены в Samba, что позволяет получить новые возможности, избежав множества рисков, связанных с повреждением данных;
- Необходимость модернизации DC и файлового сервера наступает в разные моменты. Потребность в новых возможностях DC и файлового сервера возникает в разные моментв времени. В то время, как AD DC стремительно развивается, приобретая новые возможности, файловый сервер, после более 20 лет, гораздо более консервативен;
- mandatory smb signing is enforced on the DC.
Если вы изучаете возможность использовать Samba DC как файловый сервер, рассмотрите вместо этого возможность использовать на DC виртуальную машину VM, содержащую отдельного участника домена.
Если вы вынуждены использовать Samba DC как файловый сервер, помните, что виртуальная файловая система (virtual file system, VFS) позволяет настраивать разделяемые ресурсы только со списками управления доступом access (control lists, ACL) Windows.Разделяемые ресурсы с ACL POSIX на Samba DC не поддерживаются, и не работают.
Для предоставления сетевх разделяемых ресурсов с полными возможностями Samba, используйте отдельного участника домена Samba.
Выпуск сертификата для пользователя
Необходимо установить переменные окружения:
и выпустить сертификат на пользователя:
Далее перекодируйте полученный сертификат из формата PEM в формат DER.
Запишите полученный сертификат на токен:
Настройка клиента. Проверка работоспособности
Создайте на клиенте каталог/etc/krb5/. Скопируйте в/etc/krb5/сертификат CA(cacert.pem)c сервера.
Настройте kerberos в /etc/krb5.conf. Секцию дополните следующими строками:
Когда появится строка запроса PIN-кода к карте, введите его.
Для проверки того, что kerberos-тикет был успешно получен для пользователя, введите команду klist.
Для удаления тикета — kdestroy.
Инструмент командной строки nmcli для работы с NetworkManager
В составе пакета имеется инструмент командной строки nmcli для работы с NetworkManager.
Инструмент может работать с устройствами (devices, dev) или с соединениями (connection, con).
Примеры применения командного интерфейса к устройствам:
man nmcliman nmcli-examplesman nm-online
Для того, чтобы NetworkManager прочитал изменения конфигурации (в том числе изменения списка интерфейсов, перечисленных в файле /etc/network/interfaces), следует перезапустить службу NetworkManager:
sudo systemctl restart NetworkManager
Для того, чтобы изменения настроек сетевого адаптера, сделанные через графический интерфейс, вступили в силу, следует перезапустить сетевой адаптер (на примере адаптера eth0):
сначала выключить адаптер:
sudo ifconfig eth0 down
И повторно включить адаптер:
sudo ifconfig eth0 up
Networking: Настройка сети из командной строки
- Для систем, работающих в статичной сети (например, для серверов), следует сохранять как можно более простую конфигурацию ;
- Для систем, работающих с динамически меняющимися сетями и IP-адресами (например, для мобильных компьютеров) рекомендуется дополнительно использовать для настройки пакет resolvconf, упрощающий переключение конфигураций при смене сетевого адреса.
Пакет ifupdown содержит три команды: команды ifup и ifdown, обеспечивающие настройки сетевых интерфейсов в соответствии с конфигурационным файлом /etc/network/interfaces, и команда ifquery, проверяющая корректность конфигурационного файла /etc/network/interfaces. При этом список включенных в данный момент интерфейсов хранится в файле /run/network/ifstate
Сценарий изменения настройки сетевого интерфейса (на примере интерфейса eth0):
Остановить сетевой интерфейс командой
Внести изменения в файл /etc/network/interfaces в секцию, относящуюся к интерфейсу eth0.
Проверить корректность файла:
Повторно запустить интерфейс командой:
Допускается вносить изменения в файл /etc/network/interfaces заранее, после чего перезапускать интерфейс одной командой:
sudo ifdown eth0; sudo ifup eth0
Типичной ошибкой при использовании команд ifdown/ifup является повторное назначение параметров интерфейса неотключенным и некорректно работающим сервисом NetworkManager,что выглядит как игнорирование изменений, внесённых в файл /etc/network/interfaces.Для проверки полного состояния сетевого интерфейса вместо устаревшей команды ifconfig следует использовать современную команду ip из пакета iproute2:
проверить все сетевые адреса, назначенные сетевому интерфейсу:
очистить все сетевые адреса, назначенные сетевому интерфейсу:
Разрешение имён для клиентских машин
После выполнения указанных выше настроек DNS сервер не может получать и, соответственно, выдавать информацию об именах и IP-адресах клиентских машин.
Если в домене используются клиентские машины, получающие динамические IP-адреса от сервера DHCP, сервер DNS может быть настроен на автоматическое получение информации о выданных адресах. Примерный порядок настройки см. в статье Динамическое обновление DNS FreeIPA;
Если в домене используются клиентские машины, которым присваиваются статические адреса, то:
- Можно использовать для присвоения этих статических адресов сервер DHCP с динамическим обновлением адресов;
Система печати через Kerberos (ALD)
Для выполнения действий по управлению принтерами и очередями печати необходимо создать в ALD учетную запись группы администраторов печати:
ald-admin group-add print_admins
ALD
- lpmac_ald (только для версии ОССН Смоленск 1.6+ при использовании в домене ALD);
- lpmac (для всех остальных версий ОССН)
sudo ald-admin group-add lpmac_ald
sudo ald-admin group-add lpmac
- lpmac_ald (только для версии ОССН Смоленск 1.6+ при использовании в домене ALD);
- lpmac (для всех остальных версий ОССН)
ALDALDALDsudo ald-admin service-add ipp/server.my_domain
mac
Kerberosald-client
sudo
Далее выполнить вход на сервере печати от имени учетной записи, входящей в группу ALD print_admins, и настроить принтеры (установить политику parsec и назначить максимальные допустимые уровни заданий). Настройка принтеров может быть выполнена с использованием утилиты fly-admin-printer (см. электронную справку).На клиентских машинах должны быть созданы файлы /etc/cups/client.conf. В файле конфигурации клиента client.conf должен быть задан один параметр ServerName, определяющий имя сервера печати, например:
Взаимодействие по протоколу RDP и vino
Установка и настройка пакетов
На компьютере Astra Linux eстановить пакеты vino и xrdp:
В файле /etc/xrdp/xrdp.ini в настройках протокола Xvnc изменить порт 5910 на 5900 и перезапустить xrdp:
sudo systemctl restart xrdp
Нужно запустить (из под учетной записи пользователя) vnc-сервер командой:
Настройка пароля для vnc-сервера.
Для того, чтобы vnc-сервер запрашивал пароль при подключении клиентской машины, на сервере необходимо установить пакет
Для подключения пользовательской машины к серверу необходимо воспользоваться стандартным rdp клиентом, указав ip-адрес сервера:
При подключении к серверу, в меню приглашения выбрать пункт vnc-any, указать ip-адрес сервера, и пароль к сессии:
Подготовка к инсталляции
-
Выберите имя хоста для вашего AD DC. Не рекомендуется использовать в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 . Эти сущности отсутствуют в AD, и такие названия вызывают путаницу;
Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;
Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD . Если в сети нет других серверов DNS, то файл /etc/resolv.conf должен указывать адрес самого сервера:
Убедитесь, что файл /etc/hosts на DC корректно разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хоста DC во внешний сетевой IP-адрес DC. Например:
Имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC.Для проверки правильности настроек можно использовать команду:
Kerberos
При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.
Во время процедуры назначения Samba автоматическм создает конфигурационный файл /var/lib/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC. Это файл должен быть скопирован в рабочую конфигурацию Kerberos на всех хостах, входящих в домен. На контроллере домена это можно сделать командой:
sudo cp -b /var/lib/samba/private/krb5.conf /etc/krb5.conf
В автоматически создаваемом файле конфигурации Kerberos для поиска доменного контроллера Kerberos (KDC) используются сервисные записи (SRV). Для того, чтобы такая конфигурация работала корректно, в домене должна быть правильно настроена и работать служба DNS.
Тестирование файлового сервера
Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC. Чтобы увидеть все разделяемые файловые ресурсы, предоставляемые DC:
smbclient -L localhost -U%
Нажмите, чтобы развернуть
Domain= OS= Server=
Для проверки работы аутентификации, подключитесь к ресурсу netlogon с использованием учётной записи администратора домена:
49386 blocks of size 524288. 42093 blocks available
Инструменты командной строки
Для управления Samba AD DC в состав пакета Samba входит инструмент командной строки samba-tool.
Настройка разрешений PARSEC (Astra Linux SE)
В дистрибутивах Linux, оснащённых подсистемой безопасности PARSEC , доступ приложений к файлам зависит от уровня привилегий. Поэтому по умолчанию SpIDer Guard может перехватывать события доступа к файлам ровно в той мере, в которой это предусмотрено его уровнем привилегий.
Кроме того, в случае если пользователь работает на отличном от нуля уровне привилегий, интерфейс пользователя Dr.Web для Linux не может взаимодействовать со SpIDer Guard и сервисными компонентами антивируса, работающими на других уровнях привилегий, в том числе может отсутствовать доступ к консолидированному карантину .
Если в ОС используется PARSEC и имеются учетные записи пользователей, работающих на уровнях привилегий, отличных от нулевого, необходимо выполнить специальную настройку Dr.Web для Linux, чтобы обеспечить взаимодействие его компонентов, запускаемых на различных уровнях привилегий.
В этом разделе рассматриваются следующие настройки PARSEC , обеспечивающие корректную работу Dr.Web для Linux:
Для осуществления этих операций необходимы права суперпользователя (пользователя root ). Для получения прав суперпользователя воспользуйтесь командой смены пользователя su или командой выполнения от имени другого пользователя sudo .
Настройка взаимодействия компонентов, запущенных на разных уровнях привилегий
Для ОС Astra Linux SE версии 1.6:
Внесите изменения в системный файл /etc/parsec/privsock.conf , наделив демон управления конфигурацией Dr.Web для Linux ( drweb-configd ) правом на использование механизма privsock . drweb-configd — сервисный компонент Dr.Web для Linux, обеспечивающий взаимодействие всех антивирусных компонентов между собой. Механизм privsock предназначен для обеспечения функционирования системных сетевых сервисов, не осуществляющих обработку информации с использованием мандатного контекста, но взаимодействующих с процессами, работающими в мандатном контексте субъекта доступа. Для этого выполните следующее:
1. В любом текстовом редакторе откройте файл /etc/parsec/privsock.conf . Добавьте в этот файл указанные строки:
2. Сохраните файл и перезагрузите систему.
Для ОС Astra Linux SE версии 1.5 и менее:
Внесите изменения в сценарий запуска демона управления конфигурацией Dr.Web для Linux ( drweb-configd ). Для этого выполните следующее:
1. Совершите вход в систему с использованием учетной записи, обладающей нулевым уровнем привилегий.
2. В любом текстовом редакторе откройте файл сценария /etc/init.d/drweb-configd .
3. Найдите в этом файле определение функции start_daemon() , в которой замените строку
execaps -c 0x100 -- "$DAEMON" -d -p "$PIDFILE" >/dev/null 2>&1
4. В некоторых ОС (например, Astra Linux SE 1.3) может потребоваться указать дополнительно зависимость запуска компонента от подсистемы PARSEC . В этом случае также необходимо модифицировать в этом файле строку:
Измените данную строку следующим образом:
5. Сохраните файл и перезапустите систему.
Настройка автоматического запуска компонентов на уровне привилегий пользователя
Для того, чтобы компоненты Dr.Web для Linux, с которыми взаимодействует пользователь, были доступны в его окружении (при работе пользователя на уровне привилегий, отличном от нулевого), внесите изменения в файлы настроек PAM для автоматического запуска требуемых компонентов Dr.Web для Linux при начале сессии пользователя и их завершения при окончании сессии (используется специальный PAM-модуль pam_drweb_session.so , разработанный «Доктор Веб», который запускает компонент-посредник drweb-session , связывающий между собой локальные копии компонентов, запущенных в окружении пользователя, с компонентами, работающими на нулевом уровне привилегий и запускающимися автоматически при загрузке ОС).
Для внесения изменений в настройки PAM вы можете использовать утилиту конфигурирования drweb-configure , входящую в состав Dr.Web для Linux (рекомендуется), либо внести изменения в необходимые файлы конфигурации вручную.
1. Использование утилиты drweb-configure
Для удобства настройки некоторых сложных параметров, обеспечивающих работоспособность Dr.Web для Linux, разработана специальная вспомогательная утилита drweb-configure .
1. Для включения или отключения автоматического запуска необходимых компонентов Dr.Web для Linux в окружении пользователя при его работе на уровне привилегий, отличном от нулевого, используйте следующую команду:
$ sudo drweb-configure session <режим>
где <режим> может принимать одно из следующих значений:
2. Перезапустите систему.
Для получения справки по использованию drweb-configure для настройки PAM используйте команду:
$ drweb-configure --help session
2. Изменение файлов конфигурации PAM вручную
1. В файлы конфигурации PAM (расположены в каталоге /etc/pam.d ), в которых вызывается модуль PAM pam_parsec_mac.so , добавьте следующие записи типа session :
session optional pam_drweb_session.so type=close
session optional pam_drweb_session.so type=open
2. Сохраните измененные файлы.
4. Перезапустите систему.
Настройка SpIDer Guard для перехвата событий доступа к файлам
Для предоставления файловому монитору SpIDer Guard возможности обнаруживать доступ к файлам, имеющим любой уровень привилегий доступа, необходимо перевести SpIDer Guard в режим работы Fanotify .
Чтобы перевести SpIDer Guard в режим работы Fanotify , выполните следующую команду :
Читайте также: