Установка SECURITM
Куда я попал?
Инструкция по установке On-Premise версии SECURITM в локальной инфраструктуре
Подготовка
Получение секретов
Для установки локальной версии SECURITM требуется получить у производителя ключи и лицензии для установки.
Создание сервера
В базовой комплектации SECURITM устанавливается на 1 Linux сервер (виртуальную машину).
Подходит любой Linux дистрибутив свежей сборки: Ubuntu, CentOS, Astra Linux и т.п.
Подходит любой Linux дистрибутив свежей сборки: Ubuntu, CentOS, Astra Linux и т.п.
Рекомендуемые требования к виртуальной машине (ВМ)
- CPU: 4-12 шт. (если в инфраструктуре более 10 тыс. активов, рекомендуется выделить 12 vCPU);
- RAM: 8-16 ГБ;
- SSD: 100 ГБ (для разделов /opt и /var нужно минимум по 50 ГБ);
- Учетная запись: должна входить в группу sudo, или обладать root правами.
Обновление операционной системы
DEB-based
sudo apt-get update
RPM-based
sudo yum update
Установка Docker и Docker Compose
На большинстве Linux-дистрибутивов последние стабильные версии Docker CLI, Docker Engine, Docker Compose и их зависимости устанавливаются при помощи официального скрипта. Для этого выполните команды:
curl -fsSL https://get.docker.com -o install-docker.sh
sudo sh install-docker.sh
Подробнее о способах установки написано в официальной документации:
- Docker: https://docs.docker.com/engine/installation/
- Docker Compose: https://docs.docker.com/compose/install/linux/
Примечание:
Установка Docker и Docker Compose на Red OS, Astra Linux и других отечественных диcтрибутивах может отличаться от официальных инструкций. В частности, на Astra Linux установку можно выполнить из официальных репозиториев:
Установка Docker и Docker Compose на Red OS, Astra Linux и других отечественных диcтрибутивах может отличаться от официальных инструкций. В частности, на Astra Linux установку можно выполнить из официальных репозиториев:
sudo apt-get install docker.io
sudo apt-get install docker-compose
Настройка сети
Если для сервера, на котором устанавливается SECURITM, доступ в Интернет по умолчанию заблокирован, то нужно разрешить доступ к следующим узлам:
- https://hub.securitm.ru (217.25.93.157, tcp/443) — для установки и обновлений приложения;
- https://git.securitm.ru (217.25.93.157, tcp/443) — для установки и обновлений приложения;
- https://service.securitm.ru (188.225.86.7, tcp/443) — для первичной установки и обновлений базы данных;
- https://lic.securitm.ru (87.249.53.99, tcp/443) — для активации и проверки лицензии.
Настройка доменной инфраструктуры
- Создайте на корпоративном DNS сервере A запись ведущую на сервер SECURITM.
например securitm.mycorp.local - Создайте на корпоративном удостоверяющем центре сертификат для сервера SECURITM:
- server.crt — сертификат для вашего сервера;
- server.key — закрытый ключ RSA для вашего сервера (без пароля).
- Создайте адрес электронной почты для интеграции SECURITM с корпоративным почтовым сервером. В паролях не должно быть кавычек.
- Создайте доменную учетную запись в корпоративном домене (доменах) для интеграции SECURITM с доменной инфраструктурой. Нужна учетная запись без прав администратора.
- Создайте в домене группу, в которой будут пользователи, которым разрешена доменная аутентификация в SECURITM. Вложенность групп работает. Это может быть уже существующая группа, например группа подразделения по информационной безопасности.
Примечание: у пользователей, входящих в группу, должен быть указан уникальный email, т.к. в SECURITM пользователи привязываются к email.
Установка приложения
Развертывание и настройка Docker контейнеров с компонентами приложения осуществляется через bash скрипт securitm.sh. При запуске скрипт проверяет права суперпользователя и автоматически повышает их при необходимости. Запуск скрипта без аргументов выполняет стандартную установку, или обновление приложения.
Структура приложения
Файлы и каталоги, необходимые для работы SECURITM, размещаются в директории:
/opt/securitm
Структура каталога автоматически создается при выполнении скрипта securitm.sh и имеет вид:
/opt/securitm/ # Корневой каталог приложения
├ backup/ # Бэкапы по умолчанию (при необходимости)
├ certs/ # SSL сертификат веб-сайта (при необходимости)
│ └ ca/ # Корневые сертификаты локальных УЦ (при необходимости)
├ php/ # Собственные настройки PHP (при необходимости)
├ .env # Файл с переменными окружения
└ docker-compose.yaml # Файл с настройками сервисов
Список контейнеров (может изменяться в процессе разработки):
- app – основное приложение SECURITM;
- db – база данных;
- nginx – веб-сервер;
- service – дополнительные сервисные задачи;
- redis – БД redis;
- pg – БД PostgreSQL.
Загрузка и выполнение скрипта установки/обновления
1. Создайте директорию и перейдите в нее:
mkdir securitm
cd securitm
2. Скопируйте скрипт securitm.sh и дайте права на исполнение:
wget [URL]
chmod +x securitm.sh
[URL] – адрес для скачивания скрипта установки, предоставляется после приобретения лицензии.
3. Запустите скрипт securitm.sh
./securitm.sh
4. В процессе выполнения скрипта будут запрошены следующие параметры:
- Прокси сервер (при необходимости);
- Список исключений через запятую, для которых прокси сервер не должен использоваться (при необходимости);
- Имя пользователя и пароль для доступа к GIT репозиторию (предоставляется после приобретения лицензии);
- Доменное имя сервера, по которому SECURITM будет доступен в локальной инфраструктуре (при необходимости).
5. После подтверждения начала установки, или обновления, в директории /opt/securitm будут сформированы файлы и каталоги:
- .env – файл с переменными окружения;
- docker-compose.yaml – файл, содержащий инструкции, необходимые для запуска и настройки сервисов;
- certs – директория для размещения SSL сертификата для сайта, или/и корневых сертификатов локального удостоверяющего центра (при необходимости). По умолчанию генерируется самоподписанный сертификат;
- php – директория для размещения файлов конфигурации PHP с собственными настройками (при необходимости).
6. После установки и начальной загрузки данных из GIT репозитория, скрипт напишет об успешном завершении и выведет URL для подключения к веб-интерфейсу.
Все последующие настройки, кроме импорта сертификата, осуществляются из веб-интерфейса приложения.
Все последующие настройки, кроме импорта сертификата, осуществляются из веб-интерфейса приложения.
Установка собственного SSL сертификата
При необходимости можно установить собственный сертификат для подключения к веб-интерфейсу по доменному имени, указанному в процессе установки.
Для этого необходимо в директории /opt/securitm/certs разместить два файла:
Для этого необходимо в директории /opt/securitm/certs разместить два файла:
- server.crt – сертификат для вашего сервера;
- server.key – закрытый ключ RSA для вашего сервера.
И перезапустить контейнер nginx:
cd /opt/securitm
sudo docker compose restart nginx
(либо sudo docker-compose restart nginx)
Установка корневых сертификатов собственного удостоверяющего центра (УЦ)
В случае инспекции https трафика средствами защиты информации организации необходимо установить собственные корневые сертификаты в контейнер app. Для этого необходимо в директорию /opt/securitm/certs/ca скопировать файлы сертификатов с расширением .crt:
sudo mkdir /opt/securitm/certs/ca
sudo cp /your/ca/path/*.crt /opt/securitm/certs/ca/
И перезапустить контейнер app:
cd /opt/securitm
sudo docker compose restart app
(либо sudo docker-compose restart app)
Собственные настройки PHP и PHP-FPM
При необходимости можно задать собственные настройки PHP, или/и PHP-FPM. Для этого необходимо в директории /opt/securitm/php разместить файлы:
- php.ini – настройки PHP;
- php-fpm.conf – настройки PHP-FPM.
И перезапустить контейнер app:
cd /opt/securitm
sudo docker compose restart app
(либо sudo docker-compose restart app)
Резервное копирование
Скрипт securitm.sh также имеет функционал по созданию резервных копий БД и пользовательских данных либо в интерактивном (ручном) режиме, либо автоматически через cron.
Для создания бэкапа в ручном режиме выполните:
securitm.sh -m backup
Скрипт предупредит о необходимости остановки на момент бэкапа приложения app (с целью исключения работы с БД в процессе бэкапа и тем самым дополнительной защиты целостности данных). И после получения согласия снимет дамп БД и скопирует другие критичные пользовательские данные в папку:
/opt/securitm/backup/DATE-ISO
(где DATE-ISO – текущая дата и время в формате ISO 8601, например 2024-07-08T11:40:55+03:00)
Для создания бэкапа в автоматическом режиме добавьте ключ -y (отвечать “Да” на все вопросы):
securitm.sh -m backup -y
Если Вы не хотите останавливать контейнер app в процессе выгрузки дампа базы данных, при этом Вы знаете, что в процессе бэкапа данные в БД не изменяются, можете использовать значение аргумента -m backupdontstop
securitm.sh -m backupdontstop [-y]
(ключ -y добавляется при необходимости)
Если Вы хотите указать другой каталог для бэкапов, используйте аргумент -p:
securitm.sh -m backup -p /my/backup/path [-y]
securitm.sh -m backupdontstop -p /my/backup/path [-y]
(ключ -y добавляется при необходимости)
Примечание: при создании резервных копий автоматическая ротация предыдущих бэкапов не выполняется. Например, если Вы хотите оставить 10 последних бэкапов, можно использовать следующий сценарий резервного копирования:
securitm.sh -m backup -p /my/backup/path -y
rm -rf $(ls -d1t /my/backup/path/*/ | tail -n +11)
(в данном примере используется путь /my/backup/path)
Список всех ключей скрипта securitm.sh
-m mode
Режим работы. Может принимать значения:
install (по умолчанию) – установка, или обновление;
reinstall – переустановка (используется по согласованию с техподдержкой);
backup – резервное копирование;
backupdontstop – резервное копирование без остановки работы приложения (использовать с осторожностью!);
restore – восстановление из резервной копии.
backupdontstop – резервное копирование без остановки работы приложения (использовать с осторожностью!);
restore – восстановление из резервной копии.
-p path
Необязательный параметр с указанием произвольного пути для хранения/восстановления бэкапов. По умолчанию используется путь /opt/securitm/backup
-y
Отвечать “Да” на все вопросы. Ключ используется при бэкапе через cron.
-g custom-git-url
При использовании собственного зеркала GIT репозитория здесь указывается его URL.
-d custom-registry
При использовании собственного Docker Registry здесь указывается его доменное имя.
-s subnet
Если подсеть докера пересекается с Вашими локальными подсетями, здесь можно указать произвольную подсеть для контейнеров в формате Network/Bitmask. Например:
-s 10.0.0.0/24
-s 10.0.0.0/24
-c no|yes
Если Вы хотите отключить проверку сертификатов при работе с GIT репозиторием, используйте этот ключ со значением no. Внимание! Настоятельно не рекомендуется! Правильным решением является установка в контейнер корневых сертификатов Ваших УЦ.
-n
Не проверять обновления образов и не загружать новые версии. Данный ключ можно использовать, если необходимо только изменить конфигурацию и не выполнять обновление.
Приложение готово к работе 🎉
Первичная настройка приложения
- Откройте в браузере веб-интерфейс приложения по доменному имени сервера.
- Действуйте в соответствии с Мастером установки
- Укажите электронную почту и пароль глобального администратора приложения.
Примечание: после установки приложения электронную почту глобального администратора можно поменять в глобальных настройках. - Укажите название и URL приложения, соответствующий доменному имени сервера.
- Настройте подключение к электронной почте.
Для серверов Exchange подключение настраивается по порту 587, для иных почтовых серверов по 25 или 2525. - Укажите название для общей команды (тенанта).
Примечание: именно на эту команду будет активирована лицензия. - Активируйте лицензию.
- Обновите код и базу данных приложения, для этого необходимо:
- указать логин/пароль для подключения к репозиторию и сохранить настройки;
- проверить подключение и Обновить код приложения;
- проверить подключение и Обновить базу данных.
Примечание: обновление базы данных может занимать до 10 минут. - Настройте интеграцию с Active Directory (не обязательно):
- Поле Имя почтового домена нужно, если учетная запись пользователя в домене отличается от его почтового адреса и поля userPrincipalName;
- В поле Команда для новых пользователей нужно указать название созданной команды (например, MyCorp);
- Проверьте подключение и запустите Синхронизацию пользователей. - Настройте импорт активов с Active Directory (не обязательно).
Инструкция: https://service.securitm.ru/help/integrations#active-directory - Настройте интеграцию с Kaspersky (не обязательно).
- Настройте интеграцию с Zabbix (не обязательно).
- Укажите электронную почту и пароль глобального администратора приложения.
Обновление и переустановка
Обновление
Обновление кода и базы данных приложения происходит автоматически, настраивается и запускается в Глобальных настройках приложения вручную.
Периодически публикуются новые версии сборок контейнеров SECURITM. О необходимости обновления сборок Docker контейнеров сообщает техническая поддержка.
Для обновления контейнеров SECURITM нужно подключиться по SSH к серверу, запустить свежий скрипт установки и следовать инструкциям.
sudo bash -c "$(curl -sSL [URL])"
Переустановка приложения
В ряде ситуаций, когда приложение вышло из строя и пропал доступ к web консоли, может потребоваться переустановка приложения с сохранением базы данных, файлов и параметров. Сделать это можно следующим способом:
1. Подключитесь к серверу приложения по SSH.
2. Скачайте актуальный установочный скрипт SECURITM:
1. Подключитесь к серверу приложения по SSH.
2. Скачайте актуальный установочный скрипт SECURITM:
wget securitm.sh
chmod +x securitm.sh
3. Запустите скрипт установки в режиме переустановки приложения:
./securitm.sh -m reinstall
Внимание: если вы вносили произвольные изменения в скрипты установки и конфигурационный файл docker-compose.yaml, то их следует сохранить.
4. Будет выполнено резервное копирование базы данных, данных приложения, переустановка приложения и восстановление данных.
Полезные команды Docker (не нужны при эксплуатации системы, приведены для справки)
# Переход в каталог с контейнерами приложения
cd /opt/securitm/
# Переход в контекст суперпользователя (root)
sudo -s
# Загрузка новых версий образов
docker compose pull
# (Пере)Запуск приложения после загрузки новых версий образов
docker compose up -d
# Просмотр событий в контейнере приложения
docker compose logs -f app
# Старт/стоп/перезапуск контейнера приложения
docker compose start/stop/restart app
# Зайти в контейнер приложения
docker compose exec --user www-data app bash
# Отключение/удаление контейнеров
docker compose down
docker stop $(docker ps -a -q) # остановка всех контейнеров
docker rm $(docker ps -a -q) # удаление всех контейнеров
#docker volume rm securitm_app-data securitm_app-src securitm_db-data securitm_nginx-data securitm_pg-data # удаление всех хранилищ
docker stats --no-stream # нагрузка на контейнеры
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.