Установка SECURITM Enterprise
Куда я попал?
Инструкция по установке On-Premise версии SECURITM в локальной инфраструктуре.
Подготовка
Настройка сервера
В базовой комплектации SECURITM устанавливается на 1 Linux сервер.
Для подготовки сервера нужно:
1. Установить на сервер дистрибутив Linux (Ubuntu, CentOS, Astra Linux и т.п.)
2. Рекомендуется выделить под SECURITM отдельный виртуальный сервер
Характеристики сервера:
Для подготовки сервера нужно:
1. Установить на сервер дистрибутив Linux (Ubuntu, CentOS, Astra Linux и т.п.)
2. Рекомендуется выделить под SECURITM отдельный виртуальный сервер
Характеристики сервера:
- 4-12 ядер ЦП
Если в инфраструктуре более 10 тыс. активов - выделить 12 ядер ЦП. - 8-16 ГБ ОЗУ
- 100GB SSD
Дя разделов /opt и /var нужно минимум по 50 GB.
3. Создать локальную учетную запись с root правами, из под которой будет установлено приложение.
4. Авторизоваться, перейти в привилегированный режим и обновить систему (apt-get update, apt-get upgrade)
5. Проверить и при необходимости установить приложение curl
4. Авторизоваться, перейти в привилегированный режим и обновить систему (apt-get update, apt-get upgrade)
5. Проверить и при необходимости установить приложение curl
curl --help
sudo apt install curl
6. Установить приложения Docker и Docker Compose
sudo curl -sS https://get.docker.com/ | sh
sudo usermod -aG docker ubuntu
# Для Astra Linux:
apt-get install docker.io
apt-get install docker-compose
7. Настроить прокси
Если для доступа в интернет используется прокси-сервер, то следует провести его настройку и на уровне Linux сервера и на уровне Docker.
Инструкция по настройке прокси для Docker: https://docs.docker.com/network/proxy/ .
Инструкция по настройке прокси для Docker: https://docs.docker.com/network/proxy/ .
Для прямого доступа SECURITM к локальной инфраструктуре в настройках прокси для Docker (~/.docker/config.json) следует указать исключения для работы через прокси с локальными узлами (параметр noProxy).
Настройка сети
Если для сервера, на котором устанавливается SECURITM, интернет по умолчанию заблокирован, то нужно разрешить доступ к следующим узлам:
- https://hub.securitm.ru (217.25.93.157, tcp/443) - для установки и обновлений приложения
- https://git.securitm.ru (217.25.93.157, tcp/443) - для установки и обновлений приложения
- https://service.securitm.ru (188.225.86.7, tcp/443) - для первичной установки и обновлений базы данных
- https://lic.securitm.ru (87.249.53.99, tcp/443) - для активации и проверки лицензии
Настройка доменной инфраструктуры
- Создайте на корпоративном DNS сервере A запись ведущую на сервер SECURITM.
например securitm.mycorp.local - Создайте на корпоративном удостоверяющем центре сертификат для сервера SECURITM. Файлы key и cer. Файл ключа нужно сделать без пароля.
- Создайте адрес электронной почты для интеграции SECURITM с корпоративным почтовым сервером. В паролях не должно быть кавычек.
- Создайте доменную учетную запись в корпоративном домене (доменах) для интеграции SECURITM с доменной инфраструктурой. Нужна учетная запись без прав администратора.
- Создайте в домене группу, в которой будут пользователи, которым разрешена доменная аутентификация в SECURITM. Вложенность групп работает. Это может быть уже существующая группа, например группа подразделения по информационной безопасности.
Примечание: у пользователей, входящих в группу, должен быть указан уникальный email, т.к. в SECURITM пользователи привязываются к email.
Установка приложения
1. Скачайте и запустите установочный скрипт SECURITM
sudo bash -c "$(curl -sSL [URL])"
Или:
curl -SL [URL] -o securitm.sh
chmod +x securitm.sh
./securitm.sh
[URL] - адрес для скачивания скрипта установки, предоставляется после приобретения лицензии.
2. В соответствии с инструкциями скрипта потребуется:
- Установить Docker, если он не был установлен ранее
- Указать адрес прокси-сервера, если используется
- Ввести логин/пароль для доступа к GIT репозиторию (предоставляется после приобретения лицензии)
- Указать доменное имя сервера, по которому SECURITM будет доступен в локальной инфраструктуре
Все последующие настройки, кроме импорта сертификата, осуществляются из интерфейса приложения.
Полезные команды Docker (не нужны при эксплуатации системы, приведены для справки):
cd /opt/securitm/ # переход в каталог с контейнерами приложения
docker compose pull # обновление образов
docker compose up -d # установка образов
sudo docker logs -f securitm_app # просмотр событий в контейнере приложения
docker compose start/stop/restart securitm_app # перезапуск приложения
docker exec -it securitm_app sh # доступ в контейнер с приложением. Команды выполнять под su - www-data.
#docker compose down # Отключение/удаление контейнеров
#docker volume prune -a # Удаление хранилищ
docker stop $(docker ps -a -q) # остановка всех контейнеров
docker rm $(docker ps -a -q) # удаление всех контейнеров
#docker volume rm securitm_app-data securitm_app-src securitm_db-data securitm_nginx-data securitm_pg-data # удаление всех хранилищ
docker stats --no-stream # нагрузка на контейнеры
Установка сертификата
По умолчанию в процессе установки приложение создает самоподписанный сертификат соответствующий указанному при установке названию домена (securitm.mydomain.local) .
Если требуется установить сертификат с корпоративного удостоверяющего центра то нужно:
- Подготовить 2 файла с открытым/закрытым ключом и назвать их server.cer и server.key
Примечание: частая ошибка при установке - использование файла server.crt вместо server.cer - Скопировать созданные файлы в каталог с приложением в подкаталог certs (/opt/securitm/certs)
Важно: файлы должны называться server.cer и server.key, без пароля - Перезапустить контейнер с веб сервером
docker compose restart securitm_nginx
Если нужно создать самоподписанный сертификат это можно сделать командой:
openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout securitm.key -out securitm.cer -subj "/CN=securitm.local" -addext subjectAltName="DNS:securitm.local,IP:192.168.1.1"
На что стоит обратить внимание (частые ошибки):
- Файл ключа должен быть без пароля
- Расширение сертификата должно быть cer а не crt
- Файлы ключа должны лежать в папке /opt/securitm/certs , ссылки и ярлыки не работают
- После обновления сертификата нужно перезапустить браузер с которого осуществляется проверка сертификата
Если после перезапуска контейнера система не запускается нужно проверить:
docker ps // смотрим работают ли все контейнеры
docker logs -f securitm_nginx // смотрим лог контейнера nginx
Первичная настройка приложения
- В браузере открыть приложение по доменному адресу сервера
- Действовать в соответствии с Мастером установки
- Указать электронную почту и пароль глобального администратора приложения
Примечание: после установки приложения электронную почту глобального администратора можно поменять в глобальных настройках - Указать название и URL приложения, соответствующий доменному имени сервера
- Настроить подключение к электронной почте
Для серверов Exchange подключение настраивается по порту 587, для иных почтовых серверов по 25 или 2525. - Указать название для общей команды (тенанта)
Примечание: именно на эту команду будет активирована лицензия - Активировать лицензию
- Обновить код и базу данных приложения, для этого:
- указать логин/пароль для подключения к репозиторию и сохранить настройки
- Проверить подключение и Обновить код приложения
- Проверить подключение и Обновить базу данных
Прим.: Обновление базы данных может занимать до 10 минут. - Настроить интеграцию с Active Directory (не обязательно)
- Поле Имя почтового домена нужно если учетная запись пользователя в домене отличается от его почтового адреса и поля userPrincipalName
- В поле Команда для новых пользователей нужно указать название созданной команды (например, MyCorp)
- Проверьте подключение и запустите Синхронизацию пользователей. - Настроить импорт активов с Active Directory (не обязательно)
Инструкция: https://service.securitm.ru/help/integrations#active-directory - Настроить интеграцию с Kaspersky (не обязательно)
- Настроить интеграцию с Zabbix (не обязательно)
- Указать электронную почту и пароль глобального администратора приложения
Приложение готово к работе 🎉
Обновление и переустановка
Обновление кода и базы данных приложения происходит или автоматически или вручную, настраивается и запускается в Глобальных настройках приложения.
Периодически публикуются новые версии сборок контейнеров SECURITM, включающие обновленную среду окружения.
О необходимости обновления сборок Docker контейнеров сообщает техническая поддержка.
О необходимости обновления сборок Docker контейнеров сообщает техническая поддержка.
Для обновления контейнеров SECURITM нужно подключиться по SSH к серверу, запустить свежий скрипт установки и следовать инструкциям.
sudo bash -c "$(curl -sSL [URL])"
Переустановка
В ряде ситуаций, когда приложение вышло из строя и пропал доступ к web консоли, может потребоваться переустановка приложения с сохранением базы данных, файлов и параметров. Сделать это можно следующим способом:
1. Подключитесь к серверу приложения по SSH
2. Скачайте и запустите свежий установочный скрипт SECURITM
1. Подключитесь к серверу приложения по SSH
2. Скачайте и запустите свежий установочный скрипт SECURITM
curl -SL [URL] -o securitm.sh
chmod +x securitm.sh
3. Запустить скрипт установки в режиме переустановки приложения
./securitm.sh -m reinstall
Внимание: если вы вносили произвольные изменения в скрипты установки и конфигурационный файл docker-compose.yaml то их следует сохранить.
4. Скрипт переустановки проведет резервное копирование данных приложения, переустановит приложение и восстановит данные.
4. Скрипт переустановки проведет резервное копирование данных приложения, переустановит приложение и восстановит данные.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.