Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Установка SECURITM

Документация Установка SECURITM
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал
Инструкция по установке On-Premise версии SECURITM в локальной инфраструктуре

Подготовка

Получение секретов

Для установки локальной версии SECURITM требуется получить у производителя ключи и лицензии для установки.

Создание сервера

В базовой комплектации SECURITM устанавливается на 1 Linux сервер (виртуальную машину).
Подходит любой Linux дистрибутив свежей сборки: Ubuntu, CentOS, Astra Linux и т.п.

Рекомендуемые требования к виртуальной машине (ВМ)

  • CPU: 4-12 шт. (если в инфраструктуре более 10 тыс. активов, рекомендуется выделить 12 vCPU);
  • RAM: 8-16 ГБ;
  • SSD: 100 ГБ (для разделов /opt и /var нужно минимум по 50 ГБ);
  • Учетная запись: должна входить в группу sudo, или обладать root правами.

Обновление операционной системы

DEB-based
sudo apt-get update

RPM-based
sudo yum update

Установка Docker и Docker Compose

На большинстве Linux-дистрибутивов последние стабильные версии Docker CLI, Docker Engine, Docker Compose и их зависимости устанавливаются при помощи официального скрипта. Для этого выполните команды:

curl -fsSL https://get.docker.com -o install-docker.sh
sudo sh install-docker.sh

Подробнее о способах установки написано в официальной документации:
Примечание:
Установка Docker и Docker Compose на Red OS, Astra Linux и других отечественных диcтрибутивах может отличаться от официальных инструкций. В частности, на Astra Linux установку можно выполнить из официальных репозиториев:

sudo apt-get install docker.io
sudo apt-get install docker-compose

Настройка сети

Если для сервера, на котором устанавливается SECURITM, доступ в Интернет по умолчанию заблокирован, то нужно разрешить доступ к следующим узлам:
  1. https://hub.securitm.ru (217.25.93.157, tcp/443) — для установки и обновлений приложения;
  2. https://git.securitm.ru (217.25.93.157, tcp/443) — для установки и обновлений приложения;
  3. https://service.securitm.ru (188.225.86.7, tcp/443) — для первичной установки и обновлений базы данных;
  4. https://lic.securitm.ru (87.249.53.99, tcp/443) — для активации и проверки лицензии.

Настройка доменной инфраструктуры

  1. Создайте на корпоративном DNS сервере A запись ведущую на сервер SECURITM.
    например securitm.mycorp.local
  2. Создайте на корпоративном удостоверяющем центре сертификат для сервера SECURITM:
    • server.crt — сертификат для вашего сервера;
    • server.key — закрытый ключ RSA для вашего сервера (без пароля).
  3. Создайте адрес электронной почты для интеграции SECURITM с корпоративным почтовым сервером. В паролях не должно быть кавычек.
  4. Создайте доменную учетную запись в корпоративном домене (доменах) для интеграции SECURITM с доменной инфраструктурой. Нужна учетная запись без прав администратора.
  5. Создайте в домене группу, в которой будут пользователи, которым разрешена доменная аутентификация в SECURITM. Вложенность групп работает. Это может быть уже существующая группа, например группа подразделения по информационной безопасности.
    Примечание: у пользователей, входящих в группу, должен быть указан уникальный email, т.к. в SECURITM пользователи привязываются к email.

Установка приложения

Развертывание и настройка Docker контейнеров с компонентами приложения осуществляется через bash скрипт securitm.sh. При запуске скрипт проверяет права суперпользователя и автоматически повышает их при необходимости. Запуск скрипта без аргументов выполняет стандартную установку, или обновление приложения.

Структура приложения

Файлы и каталоги, необходимые для работы SECURITM, размещаются в директории:

/opt/securitm

Структура каталога автоматически создается при выполнении скрипта securitm.sh и имеет вид:

/opt/securitm/ # Корневой каталог приложения
├ backup/      # Бэкапы по умолчанию (при необходимости)
├ certs/       # SSL сертификат веб-сайта (при необходимости)
│ └ ca/        # Корневые сертификаты локальных УЦ (при необходимости)
├ php/         # Собственные настройки PHP (при необходимости)
├ .env         # Файл с переменными окружения
└ docker-compose.yaml # Файл с настройками сервисов
 
Список контейнеров (может изменяться в процессе разработки):
  • app – основное приложение SECURITM;
  • db – база данных;
  • nginx – веб-сервер;
  • service – дополнительные сервисные задачи;
  • redis – БД redis;
  • pg – БД PostgreSQL.

Загрузка и выполнение скрипта установки/обновления

1. Создайте директорию и перейдите в нее:

mkdir securitm
cd securitm

2. Скопируйте скрипт securitm.sh и дайте права на исполнение:

wget [URL]
chmod +x securitm.sh
[URL] ­– адрес для скачивания скрипта установки, предоставляется после приобретения лицензии.

3. Запустите скрипт securitm.sh

./securitm.sh

4.  В процессе выполнения скрипта будут запрошены следующие параметры:
  • Прокси сервер (при необходимости);
  • Список исключений через запятую, для которых прокси сервер не должен использоваться (при необходимости);
  • Имя пользователя и пароль для доступа к GIT репозиторию (предоставляется после приобретения лицензии);
  • Доменное имя сервера, по которому SECURITM будет доступен в локальной инфраструктуре (при необходимости).
5. После подтверждения начала установки, или обновления, в директории /opt/securitm будут сформированы файлы и каталоги:
  • .env – файл с переменными окружения;
  • docker-compose.yaml – файл, содержащий инструкции, необходимые для запуска и настройки сервисов;
  • certs – директория для размещения SSL сертификата для сайта, или/и корневых сертификатов локального удостоверяющего центра (при необходимости). По умолчанию генерируется самоподписанный сертификат;
  • php – директория для размещения файлов конфигурации PHP с собственными настройками (при необходимости).
6. После установки и начальной загрузки данных из GIT репозитория, скрипт напишет об успешном завершении и выведет URL для подключения к веб-интерфейсу.

Все последующие настройки, кроме импорта сертификата, осуществляются из веб-интерфейса приложения.

Установка собственного SSL сертификата

При необходимости можно установить собственный сертификат для подключения к веб-интерфейсу по доменному имени, указанному в процессе установки.
Для этого необходимо в директории /opt/securitm/certs разместить два файла:
  • server.crt – сертификат для вашего сервера;
  • server.key – закрытый ключ RSA для вашего сервера.
И перезапустить контейнер nginx:

cd /opt/securitm
sudo docker compose restart nginx
(либо sudo docker-compose restart nginx)

Установка корневых сертификатов собственного удостоверяющего центра (УЦ)

В случае инспекции https трафика средствами защиты информации организации необходимо установить собственные корневые сертификаты в контейнер app. Для этого необходимо в директорию /opt/securitm/certs/ca скопировать файлы сертификатов с расширением .crt:

sudo mkdir /opt/securitm/certs/ca
sudo cp /your/ca/path/*.crt /opt/securitm/certs/ca/
 
И перезапустить контейнер app:

cd /opt/securitm
sudo docker compose restart app
(либо sudo docker-compose restart app)

Собственные настройки PHP и PHP-FPM

При необходимости можно задать собственные настройки PHP, или/и PHP-FPM. Для этого необходимо в директории /opt/securitm/php разместить файлы:
  • php.ini – настройки PHP;
  • php-fpm.conf – настройки PHP-FPM.
И перезапустить контейнер app:

cd /opt/securitm
sudo docker compose restart app
(либо sudo docker-compose restart app)

Резервное копирование

Скрипт securitm.sh также имеет функционал по созданию резервных копий БД и пользовательских данных либо в интерактивном (ручном) режиме, либо автоматически через cron.

Для создания бэкапа в ручном режиме выполните:

securitm.sh -m backup

Скрипт предупредит о необходимости остановки на момент бэкапа приложения app (с целью исключения работы с БД в процессе бэкапа и тем самым дополнительной защиты целостности данных). И после получения согласия снимет дамп БД и скопирует другие критичные пользовательские данные в папку:

/opt/securitm/backup/DATE-ISO

(где DATE-ISO – текущая дата и время в формате ISO 8601, например 2024-07-08T11:40:55+03:00)

Для создания бэкапа в автоматическом режиме добавьте ключ -y  (отвечать “Да” на все вопросы):

securitm.sh -m backup -y

Если Вы не хотите останавливать контейнер app в процессе выгрузки дампа базы данных, при этом Вы знаете, что в процессе бэкапа данные в БД не изменяются, можете использовать значение аргумента -m backupdontstop 

securitm.sh -m backupdontstop [-y]
(ключ -y добавляется при необходимости)

Если Вы хотите указать другой каталог для бэкапов, используйте аргумент -p:

securitm.sh -m backup -p /my/backup/path [-y]
securitm.sh -m backupdontstop -p /my/backup/path [-y]
(ключ -y добавляется при необходимости)

Примечание: при создании резервных копий автоматическая ротация предыдущих бэкапов не выполняется. Например, если Вы хотите оставить 10 последних бэкапов, можно использовать следующий сценарий резервного копирования:

securitm.sh -m backup -p /my/backup/path -y
rm -rf $(ls -d1t /my/backup/path/*/ | tail -n +11)
(в данном примере используется путь /my/backup/path)

Список всех ключей скрипта securitm.sh

-m mode
Режим работы. Может принимать значения:

install (по умолчанию) – установка, или обновление;
reinstall – переустановка (используется по согласованию с техподдержкой);
backup – резервное копирование;
backupdontstop – резервное копирование без остановки работы приложения (использовать с осторожностью!);
restore – восстановление из резервной копии.

-p path
Необязательный параметр с указанием произвольного пути для хранения/восстановления бэкапов. По умолчанию используется путь /opt/securitm/backup

-y
Отвечать “Да” на все вопросы. Ключ используется при бэкапе через cron.

-g custom-git-url
При использовании собственного зеркала GIT репозитория здесь указывается его URL.

-d custom-registry
При использовании собственного Docker Registry здесь указывается его доменное имя.

-s subnet
Если подсеть докера пересекается с Вашими локальными подсетями, здесь можно указать произвольную подсеть для контейнеров в формате Network/Bitmask. Например:
-s 10.0.0.0/24

-c no|yes
Если Вы хотите отключить проверку сертификатов при работе с GIT репозиторием, используйте этот ключ со значением no. Внимание! Настоятельно не рекомендуется! Правильным решением является установка в контейнер корневых сертификатов Ваших УЦ.

-n
Не проверять обновления образов и не загружать новые версии. Данный ключ можно использовать, если необходимо только изменить конфигурацию и не выполнять обновление.

Приложение готово к работе 🎉

Первичная настройка приложения

  1. Откройте в браузере веб-интерфейс приложения по доменному имени сервера.
  2. Действуйте в соответствии с Мастером установки
    1. Укажите электронную почту и пароль глобального администратора приложения.
      Примечание: после установки приложения электронную почту глобального администратора можно поменять в глобальных настройках.
    2. Укажите название и URL приложения, соответствующий доменному имени сервера.
    3. Настройте подключение к электронной почте.
      Для серверов Exchange подключение настраивается по порту 587, для иных почтовых серверов по 25 или 2525.
    4. Укажите название для общей команды (тенанта).
      Примечание: именно на эту команду будет активирована лицензия.
    5. Активируйте лицензию.
    6. Обновите код и базу данных приложения, для этого необходимо:
      - указать логин/пароль для подключения к репозиторию и сохранить настройки;
      - проверить подключение и Обновить код приложения;
      - проверить подключение и Обновить базу данных.
      Примечание: обновление базы данных может занимать до 10 минут.
    7. Настройте интеграцию с Active Directory (не обязательно):
      - Поле Имя почтового домена нужно, если учетная запись пользователя в домене отличается от его почтового адреса и поля userPrincipalName;
      - В поле Команда для новых пользователей нужно указать название созданной команды (например, MyCorp);
      - Проверьте подключение и запустите Синхронизацию пользователей.
    8. Настройте импорт активов с Active Directory (не обязательно).
      Инструкция: https://service.securitm.ru/help/integrations#active-directory 
    9. Настройте интеграцию с Kaspersky (не обязательно).
    10. Настройте интеграцию с Zabbix (не обязательно).

Обновление и переустановка

Обновление

Обновление кода и базы данных приложения происходит автоматически, настраивается и запускается в Глобальных настройках приложения вручную.
Периодически публикуются новые версии сборок контейнеров SECURITM. О необходимости обновления сборок Docker контейнеров сообщает техническая поддержка.
Для обновления контейнеров SECURITM нужно подключиться по SSH к серверу, запустить свежий скрипт установки и следовать инструкциям.

sudo bash -c "$(curl -sSL [URL])"

Переустановка приложения

В ряде ситуаций, когда приложение вышло из строя и пропал доступ к web консоли, может потребоваться переустановка приложения с сохранением базы данных, файлов и параметров. Сделать это можно следующим способом:
1. Подключитесь к серверу приложения по SSH.
2. Скачайте актуальный установочный скрипт SECURITM:

wget securitm.sh
chmod +x securitm.sh

3. Запустите скрипт установки в режиме переустановки приложения:

./securitm.sh -m reinstall

Внимание: если вы вносили произвольные изменения в скрипты установки и конфигурационный файл docker-compose.yaml, то их следует сохранить.

4. Будет выполнено резервное копирование базы данных, данных приложения, переустановка приложения и восстановление данных.

Полезные команды Docker (не нужны при эксплуатации системы, приведены для справки)

# Переход в каталог с контейнерами приложения
cd /opt/securitm/

# Переход в контекст суперпользователя (root)
sudo -s

# Загрузка новых версий образов
docker compose pull

# (Пере)Запуск приложения после загрузки новых версий образов
docker compose up -d

# Просмотр событий в контейнере приложения
docker compose logs -f app

# Старт/стоп/перезапуск контейнера приложения
docker compose start/stop/restart app

# Зайти в контейнер приложения
docker compose exec --user www-data app bash

# Отключение/удаление контейнеров
docker compose down

docker stop $(docker ps -a -q) # остановка всех контейнеров
docker rm $(docker ps -a -q) # удаление всех контейнеров
#docker volume rm securitm_app-data securitm_app-src securitm_db-data securitm_nginx-data securitm_pg-data # удаление всех хранилищ
docker stats --no-stream # нагрузка на контейнеры

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.