Получение секретов

Создание сервера

Рекомендуемые требования к виртуальной машине (ВМ)

• CPU: 6-12 шт. (если в инфраструктуре более 10 тыс. активов, рекомендуется выделить 12 vCPU);
• RAM: 16-32 ГБ;
• SSD: 100 ГБ (для разделов /opt и /var нужно минимум по 50 ГБ);
• Учетная запись: должна входить в группу sudo, или обладать root правами.
• Операционная система: Linux Ubuntu, CentOS, Astra Linux, РЕД ОС,  МОС ОС и т.д.

Обновление операционной системы

sudo apt-get update

sudo yum update

Установка Docker и Docker Compose

curl -fsSL https://get.docker.com -o install-docker.sh
sudo sh install-docker.sh

• Docker: https://docs.docker.com/engine/installation/
• Docker Compose: https://docs.docker.com/compose/install/linux/

sudo apt-get install docker.io
sudo apt-get install docker-compose

Настройка сети

1. https://hub.securitm.ru (217.25.93.157, tcp/443) — для установки и обновлений приложения;
2. https://git.securitm.ru (217.25.93.157, tcp/443) — для установки и обновлений приложения;
3. https://service.securitm.ru (188.225.86.7, tcp/443) — для первичной установки и обновлений базы данных;
4. https://lic.securitm.ru (87.249.53.99, tcp/443) — для активации и проверки лицензии.

Настройка доменной инфраструктуры

1. Создайте на корпоративном DNS сервере A запись ведущую на сервер SECURITM.
   например securitm.mycorp.local
2. Создайте на корпоративном удостоверяющем центре сертификат для сервера SECURITM:
   • server.crt — сертификат для вашего сервера;
   • server.key — закрытый ключ RSA для вашего сервера (без пароля).
3. Создайте адрес электронной почты для интеграции SECURITM с корпоративным почтовым сервером. В паролях не должно быть кавычек.
4. Создайте доменную учетную запись в корпоративном домене (доменах) для интеграции SECURITM с доменной инфраструктурой. Нужна учетная запись без прав администратора.
5. Создайте в домене группу, в которой будут пользователи, которым разрешена доменная аутентификация в SECURITM. Вложенность групп работает. Это может быть уже существующая группа, например группа подразделения по информационной безопасности.
   Примечание: у пользователей, входящих в группу, должен быть указан уникальный email, т.к. в SECURITM пользователи привязываются к email.

Структура приложения

/opt/securitm

/opt/securitm/ # Корневой каталог приложения
├ backup/      # Бэкапы по умолчанию (при необходимости)
├ certs/       # SSL сертификат веб-сайта (при необходимости)
│ └ ca/        # Корневые сертификаты локальных УЦ (при необходимости)
├ php/         # Собственные настройки PHP (при необходимости)
├ .env         # Файл с переменными окружения
└ docker-compose.yaml # Файл с настройками сервисов

• app – основное приложение SECURITM;
• db – база данных;
• nginx – веб-сервер;
• service – дополнительные сервисные задачи;
• redis – БД redis;
• pg – БД PostgreSQL.

Загрузка и выполнение скрипта установки/обновления

mkdir securitm
cd securitm

wget [URL]
chmod +x securitm.sh

./securitm.sh

• Прокси сервер (при необходимости);
• Список исключений через запятую, для которых прокси сервер не должен использоваться (при необходимости);
• Имя пользователя и пароль для доступа к GIT репозиторию (предоставляется после приобретения лицензии);
• Доменное имя сервера, по которому SECURITM будет доступен в локальной инфраструктуре (при необходимости).

• .env – файл с переменными окружения;
• docker-compose.yaml – файл, содержащий инструкции, необходимые для запуска и настройки сервисов;
• certs – директория для размещения SSL сертификата для сайта, или/и корневых сертификатов локального удостоверяющего центра (при необходимости). По умолчанию генерируется самоподписанный сертификат;
• php – директория для размещения файлов конфигурации PHP с собственными настройками (при необходимости).

Установка собственного SSL сертификата

• server.crt – сертификат для вашего сервера;
• server.key – закрытый ключ RSA для вашего сервера.

cd /opt/securitm
sudo docker compose restart nginx
(либо sudo docker-compose restart nginx)

Установка корневых сертификатов собственного удостоверяющего центра (УЦ)

sudo mkdir /opt/securitm/certs/ca
sudo cp /your/ca/path/*.crt /opt/securitm/certs/ca/

cd /opt/securitm
sudo docker compose restart app
(либо sudo docker-compose restart app)

Терминация SSL

services:
  nginx:
    environment:
      - NGINX_TLS=false

cd /opt/securitm/
sudo docker compose up -d

Собственные настройки PHP и PHP-FPM

• php.ini – настройки PHP;
• php-fpm.conf – настройки PHP-FPM.

cd /opt/securitm
sudo docker compose restart app
(либо sudo docker-compose restart app)

Список всех ключей скрипта securitm.sh

-m mode

-p path

-y

-g custom-git-url

-d custom-registry

-s subnet

-c no|yes

-n

Приложение готово к работе 🎉

Первичная настройка приложения

1. Откройте в браузере веб-интерфейс приложения по доменному имени сервера.
2. Действуйте в соответствии с Мастером установки
   1. Укажите электронную почту и пароль глобального администратора приложения.
      Примечание: после установки приложения электронную почту глобального администратора можно поменять в глобальных настройках.
   2. Укажите название и URL приложения, соответствующий доменному имени сервера.
   3. Настройте подключение к электронной почте.
      Для серверов Exchange подключение настраивается по порту 587, для иных почтовых серверов по 25 или 2525.
   4. Укажите название для общей команды (тенанта).
      Примечание: именно на эту команду будет активирована лицензия.
   5. Активируйте лицензию.
   6. Обновите код и базу данных приложения, для этого необходимо:
      - указать логин/пароль для подключения к репозиторию и сохранить настройки;
      - проверить подключение и Обновить код приложения;
      - проверить подключение и Обновить базу данных.
      Примечание: обновление базы данных может занимать до 10 минут.
   7. Настройте интеграцию с Active Directory (не обязательно):
      - Поле Имя почтового домена нужно, если учетная запись пользователя в домене отличается от его почтового адреса и поля userPrincipalName;
      - В поле Команда для новых пользователей нужно указать название созданной команды (например, MyCorp);
      - Проверьте подключение и запустите Синхронизацию пользователей.
   8. Настройте импорт активов с Active Directory (не обязательно).
      Инструкция: https://service.securitm.ru/help/integrations#active-directory 
   9. Настройте интеграцию с Kaspersky (не обязательно).
   10. Настройте интеграцию с Zabbix (не обязательно).

Обновление

sudo bash -c "$(curl -sSL [URL])"

Переустановка приложения

wget securitm.sh
chmod +x securitm.sh

./securitm.sh -m reinstall

Полезные команды Docker (не нужны при эксплуатации системы, приведены для справки)

# Переход в каталог с контейнерами приложения
cd /opt/securitm/

# Переход в контекст суперпользователя (root)
sudo -s

# Загрузка новых версий образов
docker compose pull

# (Пере)Запуск приложения после загрузки новых версий образов
docker compose up -d

# Просмотр событий в контейнере приложения
docker compose logs -f app

# Старт/стоп/перезапуск контейнера приложения
docker compose start/stop/restart app

# Зайти в контейнер приложения
docker compose exec --user www-data app bash

# Отключение/удаление контейнеров
docker compose down

docker stop $(docker ps -a -q) # остановка всех контейнеров
docker rm $(docker ps -a -q) # удаление всех контейнеров
#docker volume rm securitm_app-data securitm_app-src securitm_nginx-data securitm_db-pg-data securitm_db-data securitm_pg-data # удаление всех хранилищ
docker stats --no-stream # нагрузка на контейнеры

securitm.sh -m backup

/opt/securitm/backup/DATE-ISO

securitm.sh -m backup -y

securitm.sh -m backupdontstop [-y]

securitm.sh -m backup -p /my/backup/path [-y]
securitm.sh -m backupdontstop -p /my/backup/path [-y]

securitm.sh -m backup -p /my/backup/path -y
rm -rf $(ls -d1t /my/backup/path/*/ | tail -n +11)

• PostgreSQL версии 17 (гарантировано работает на 17.6);
• 4 CPU;
• 8 Гб RAM;
• 80 Гб NVMe/SSD в разделе для хранения баз данных.

1. securitm_data
2. securitm_static

CREATE DATABASE securitm_data;
CREATE DATABASE securitm_static;

CREATE USER securitm;
ALTER USER securitm WITH ENCRYPTED PASSWORD 'P@ssw0rd';

GRANT ALL ON DATABASE securitm_data TO securitm;
GRANT ALL ON DATABASE securitm_static TO securitm;

c securitm_data
ALTER SCHEMA public OWNER TO securitm;
GRANT ALL ON SCHEMA public TO securitm;
ALTER DEFAULT PRIVILEGES GRANT ALL ON SCHEMAS TO securitm;
ALTER DEFAULT PRIVILEGES GRANT ALL ON FUNCTIONS TO securitm;

c securitm_static
ALTER SCHEMA public OWNER TO securitm;
GRANT ALL ON SCHEMA public TO securitm;
ALTER DEFAULT PRIVILEGES GRANT ALL ON SCHEMAS TO securitm;
ALTER DEFAULT PRIVILEGES GRANT ALL ON FUNCTIONS TO securitm;

listen_addresses = '*'

host all all all scram-sha-256

sudo systemctl restart postgresql

mkdir -p ~/securitm
cd ~/securitm/
wget -O securitm.sh https://[URL]/securitm.sh
# или
# curl -o securitm.sh https://[URL]/securitm.sh
chmod +x securitm.sh

./securitm.sh -m backup

services:
  app:
    environment:
      - LARA_DB_HOST_DATA=pg.server.local
      - LARA_DB_HOST_STATIC=pg.server.local
      - LARA_DB_PASSWORD_DATA=P@ssw0rd
      - LARA_DB_PASSWORD_STATIC=P@ssw0rd
  db-pg:
    profiles:
      - manual

./securitm.sh -m restore

cd /opt/securitm/
sudo docker compose down db-pg

# Внимание! Сейчас все данные контейнера PostgreSQL будут удалены!
sudo docker volume rm securitm_db-pg-data

Установка Helm (при необходимости)

sudo apt -y install git curl
curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash

# Бэкапим текущий файл настроек при его наличии
[ -f ~/.kube/config ] && cp ~/.kube/config ~/.kube/config.$(date +%s)
 
# Настраиваем
kubectl config view --raw > ~/.kube/config

Установка ingress-nginx (при необходимости)

helm upgrade ingress-nginx ingress-nginx --repo https://kubernetes.github.io/ingress-nginx --install --namespace ingress-nginx --create-namespace

Загрузка чарта securitm, подготовка файла конфигурации

# Создадим директорию и перейдем в нее
mkdir -p ~/charts/ && cd ~/charts/
 
# Загрузим и распакуем чарт securitm
curl -o securitm-chart.tgz https://[kubernetes_install_url]/charts/securitm-chart.tgz
tar xzf securitm-chart.tgz
 
# Загрузим пример файла конфигурации
curl -o values-override-example.yaml https://[kubernetes_install_url]/charts/values-override-example.yaml
cp values-override-example.yaml values-override.yaml

Редактируем файл с настройками

• global:
  Глобальные настройки.
• app:
  Основное приложение SECURITM.
• ui:
  Настройки Ingress-Nginx.
• db-pg:
  БД PostgreSQL
• redis:
  БД Redis
• web:
  Веб-сервер

global:
  domain: securitm.domain.local
  timezone: Europe/Moscow

app:
  GIT_USER: [username]
  GIT_PASSWORD: [P@ssw0rd]
  
  # Example: http://proxy.domain.local:3128
  PROXY:
  # Example: 10.0.0.0/8,192.168.0.0/16,.domain.local
  NO_PROXY:

cat server.crt | base64
cat server.key | base64

ui:
  certificate:
    tls.crt: |
      base64string1
      base64string2
      base64string...
      base64stringN
    tls.key: |
      base64string1
      base64string2
      base64string...
      base64stringN

db-pg:
  storage:
    data:
      size: 50Gi
      ClassName: local-path
 
  resources:
    requests:
      cpu: "2"
      memory: 4Gi
    limits:
      cpu: "16"
      memory: 32Gi

Установка чарта, запуск SECURITM

helm upgrade securitm securitm --install --namespace=securitm --create-namespace --values values-override.yaml

Полезные команды

kubectl -n securitm get secrets/securitm-dbpwd --template='{{ index .data "db-password" | base64decode }}{{ "
" }}'

dockerd-rootless-setuptool.sh install

sudo sh -eux <<EOF
# Install newuidmap & newgidmap binaries
apt-get install -y uidmap
EOF

dockerd-rootless-setuptool.sh install

sudo setcap cap_net_bind_service=ep $(which rootlesskit)
systemctl --user restart docker

sudo loginctl enable-linger $USER

sudo systemctl disable --now docker.service docker.socket

ln -s securitm.sh securitm-rootless.sh

/opt/securitm/

~/opt/securitm/

/var/lib/docker/

~/.local/share/docker/

~/securitm/securitm.sh

~/securitm/securitm-rootless.sh