Инструменты пользователя
Содержание
Пошаговая инструкция по обновлению сервера безопасности с версии 6.25.2 до версии 7.2.2 на Ubuntu 20.04
Как установить версию 6.25.3 на Ubuntu20.04
Пошаговая инструкция по установке сервера безопасности Тундук
1 Введение
2 Установка
2.1 Поддерживаемые платформы
Программное обеспечение может быть развернуто как на физическом, так и на виртуализированном оборудовании.
2.2 Справочные данные
Заметка:Информация в пустых ячейках должна быть определена до начала установка Сервера Безопасности, ответственным за установку программного обеспечения лицом.Внимание:Данные, необходимые для функционирования операционной системы, не включены.
| Ref | Explanation | |
|---|---|---|
| 1.0 | Ubuntu 20.04, 64-bit 4 GB RAM, 100 GB free disk space | Минимальные требования |
| 1.1 | https://deb.tunduk.kg | Хранилище пакетов X-Road |
| 1.2 | https://deb.tunduk.kg/key.pub | GPG ключ хранилища |
| 1.3 | Имя учетной записи в интерфейсе пользователя | |
| 1.4 | TCP 5500 | Порт входящих соединений (Из внешней сети к Серверу Безопасности) Обмен сообщениями между Серверами Безопасности |
| TCP 5577 | Порт входящих соединений (Из внешней сети к Серверу Безопасности) Запрос ответов OCSP между серверами безопасности |
|
| TCP 2080 | Порт входящих соединений (Из локальной сети к Серверу Безопасности) Обмен сообщениями между Сервером Безопасности и демоном мониторинга оперативных данных (по умолчанию - localhost) |
|
| TCP 9011 | Порт входящих соединений (Из локальной сети к Серверу Безопасности) демон мониторинга оперативных данных - JMX listening port |
|
| 1.5 | TCP 5500 | Порт исходящих соединений (От Сервера безопасности во внешнюю сеть) Обмен сообщениями между Серверами Безопасности |
| TCP 5577 | Порт исходящих соединений (От Сервера безопасности во внешнюю сеть) Запрос ответов OCSP между серверами безопасности |
|
| TCP 4001 | Порт исходящих соединений (От Сервера безопасности во внешнюю сеть) Связь с центральным сервером |
|
| TCP 80 | Порт исходящих соединений (От Сервера безопасности во внешнюю сеть) Получение глобальной конфигурации |
|
| TCP 62301,62302 | Порт исходящих соединений (От Сервера безопасности во внешнюю сеть) порты для OCSP и time-stamping сервисов удостоверяющего центра |
|
| 1.6 | TCP 4000 | Интерфейс пользователя (внутренняя сеть) |
| 1.7 | TCP 80 | Точка доступа информационной системы (в локальной сети) Соединения от информационной системы |
| TCP 443 | Точка доступа информационной системы (в локальной сети) Соединения от информационной системы |
|
| 1.8 | Внутренний IP адрес(а) и имя(имена) хоста(ов) | |
| 1.9 | Публичный адрес Сервера Безопасности, NAT адрес | |
| 1.10 | <по умолчанию, IP адреса и имена сервера включены в отличительное имя сертификата (DN) поле> | Информация о TLS сертификате интерфейса пользователя |
| 1.11 | <по умолчанию, IP адреса и имена сервера включены в отличительное имя сертификата (DN) поле> | Информация о TLS сертификате сервера |
| 1.12 | TCP 2552 | Порт коммуникации между процессами xroad-proxy и xroad-monitoring |
2.3 Требования к серверу Безопасности
Минимальные рекомендации к аппаратному обеспечению:
- Аппаратное обеспечение сервера (материнская плата, центральный процессор, сетевые карты, системы хранения данных) должны полностью поддерживаться операционной системой Ubuntu 18.04;
- 64-x разрядный Intel dual-core, AMD или совместимый процессор; настоятельно рекомендуется наличие поддержки AES инструкций;
- 4 GB оперативной памяти (Для нормального функционирования сервера в промышленной эксплуатации рекомендуется от 4-х гигабайт и более);
- 100 Mbps сетевой интерфейс ;
- USB порты для использования аппаратных токенов (опционально, если будете использовать HWS)
Требования к по и конфигурации:
- При установке Ubuntu 20.04 необходимо использовать данный образ официальный образ
- Установленная и настроенная операционная система Ubuntu 18.04 LTS x86-64;
- Если сервер безопасности разделен от других сетей брандмауэром и/или NATом, необходимые сетевые соединения от и к Серверу Безопасности разрешены (справочные данные: 1.4; 1.5; 1.6; 1.7). Задействование вспомогательных сервисов необходимых для функционирования и управления операционной системой (такие как DNS, NTP и SSH) не входят в рамки данного руководства;
- Если Сервер Безопасности имеет приватный IP адрес, соответствующие правила NAT должны быть созданы на сетевом фильтре (справочные данные: 1.9).
2.4 Подготовка операционной системы
Перед началом установки произвести предварительную настройку системы
- Глобально задать переменную окружения для установки локали системы
echo "LC_ALL=en_US.UTF-8" | sudo tee -a /etc/environment
- Cоздать административного пользователя (пункт 1.3) выполнив команду и заменив <local_user> на любое другое имя
sudo adduser <local_user> --shell=/usr/sbin/nologin --no-create-home
- Импортировать GPG ключ репозитория
wget -qO - https://deb.tunduk.kg/key.pub | sudo apt-key add -
- Добавить репозиторий в список источников пакетов ОС
echo "deb https://deb.tunduk.kg/ubuntu20.04-6.25.2 /" | sudo tee -a /etc/apt/sources.list.d/xroad.list
- Произвести обновление обновление системы
sudo apt-get update && sudo apt-get -y full-upgrade
- Настроить правила межсетевого экрана
Заметка: Ниже производятся общие настройки межсетевого экрана, дополнительные правила требуются для настройки связи сервера безопасности с адаптером и предоставления административного доступа.
sudo ufw default deny outgoing sudo ufw default deny incoming sudo ufw allow out 53/tcp sudo ufw allow out 53/udp sudo ufw allow in 5500/tcp sudo ufw allow out 5500/tcp sudo ufw allow in 5577/tcp sudo ufw allow out 5577/tcp sudo ufw allow out 4001/tcp sudo ufw allow out 80/tcp sudo ufw allow out 443/tcp sudo ufw allow out 62301/tcp sudo ufw allow out 62302/tcp sudo ufw allow out 123/udp
Включение фаерволла
Заметка: если вы управляете сервером посредством ssh сессия может прерваться
sudo ufw enable
Разрешение удаленного подключения к интерфейсу администратора сервера безопасности.
sudo ufw allow from INTERNAL_IP to any port 4000 proto tcp
2.5 Установка программного обеспечения сервера безопасности
- Чтобы установить программное обеспечение сервера безопасности X-Road, выполните следующие действия.
sudo apt-get install net-tools xroad-securityserver xroad-addon-opmonitoring xroad-addon-hwtokens libccid pcscd pcsc-tools unzip
При первой установке пакетов система запросит следующую информацию.
- Имя учетной записи для пользователя, которому будут предоставлены права на выполнение всех действий в пользовательском интерфейсе (смотрите пункт: 1.3).
- Уникальное имя самоподписанного TLS сертификата (Subject DN) и его альтернативные имена (subjectAltName) (смотрите пункт: 1.8; 1.10).
- Subject DN должен вводится в следующем формате:
/CN=server.domain.tld
- Все используемые IP-адреса и имена доменов должны быть введены в качестве альтернативных имен в формате:
IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld
- Уникальное имя владельца сертификата TLS, используемого для обеспечения доступа информационных систем к точке доступа HTTPS (смотрите пункт: 1,8; 1.11). В качестве значений по умолчанию предлагаются имя и IP-адреса, обнаруженные в системе.
- Subject DN должен вводится в следующем формате:
/CN=server.domain.tld
- Все используемые IP-адреса и имена доменов должны быть введены в качестве альтернативных имен в формате:
IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld
2.6 Установить Поддержку аппаратных токенов (Smart-card, USB Token, Hardware Security Module)
- Для установки Rutoken ЭЦП 2.0 произведите следующие действия
sudo apt-get install opensc-pkcs11 opensc
добавить в конец файла /etc/xroad/devices.ini следующие строки выполнив команду
echo "[Rutoken] library = /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so" | sudo tee -a /etc/xroad/devices.ini
Отформатировать токен
sudo pkcs15-init --erase-card -p rutoken_ecp
Задать Пин код администратора токена. (Сгенерируйте свой пин код)
sudo pkcs15-init --create-pkcs15 --so-pin "Sheich0e" --so-puk ""
Задать пин код пользователя токена используя пин администратора. (Сгенерируйте свой пин код)
sudo pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "Xo7ahkup" --puk "" --so-pin "Sheich0e" --finalize
Установка сервера безопасности завершена
Далее необходимо перезагрузить систему
sudo reboot
2.7 Проверка сервера после установки
Установка выполнена успешно, если запущены системные службы и пользовательский интерфейс отвечает. чтобы убедится что сервисы X-Road находятся в запущенном состоянии выполните в консоли (далее следует пример вывода):
sudo systemctl list-units "xroad*"
UNIT LOAD ACTIVE SUB DESCRIPTION xroad-addon-messagelog.service loaded active running X-Road Messagelog Archiver xroad-base.service loaded active exited X-Road initialization xroad-confclient.service loaded active running X-Road confclient xroad-monitor.service loaded active running X-Road Monitor xroad-opmonitor.service loaded active running X-Road opmonitor daemon xroad-proxy-ui-api.service loaded active running X-Road Proxy UI REST API xroad-proxy.service loaded active running X-Road Proxy xroad-signer.service loaded active running X-Road signer
Убедитесь что интерфейс пользователя сервера безопасности https://SECURITYSERVER:4000/ может быть открыт в веб браузере (смотрите пункт: 1.8; 1.6). Для входа в интерфейс воспользуйтесь учетной записью пользователя, логин которого был выбран во время установки (смотрите пункт: 1.3). Для запуска Веб интерфейса требуется некоторое время и вы можете увидеть ошибку «502 Bad Gateway».
Как обновить Сервер Безопасности с версии 6.25.2 до версии 6.26.3
Удалить репозиторий https://deb.tunduk.kg/ubuntu18.0-6.25.2 из файла /etc/apt/sources.list.d/xroad.list
$ sudo rm /etc/apt/sources.list.d/xroad.list
Добавить репозиторий в список источников пакетов ОС
$ echo "deb https://deb.tunduk.kg/ubuntu20.04-6.26.3 /" | sudo tee -a /etc/apt/sources.list.d/xroad.list
Произвести обновление обновление системы
$ sudo apt update && apt full-upgrade
Установка выполнена успешно, если запущены системные службы и пользовательский интерфейс отвечает. чтобы убедится что сервисы X-Road находятся в запущенном состоянии:
$ sudo systemctl reset-failed $ sudo systemctl list-units "xroad*" $ dpkg -l | grep "xroad"
Как обновить Сервер Безопасности с версии 6.26.3 до версии 7.0.4
Удалить репозиторий https://deb.tunduk.kg/ubuntu18.0-6.25.2 из файла /etc/apt/sources.list.d/xroad.list
$ sudo rm /etc/apt/sources.list.d/xroad.list
Добавить репозиторий в список источников пакетов ОС
$ echo "deb https://deb.tunduk.kg/ubuntu20.04-7.0.4 /" | sudo tee -a /etc/apt/sources.list.d/xroad.list
Произвести обновление обновление системы
$ sudo apt update && apt full-upgrade
Установка выполнена успешно, если запущены системные службы и пользовательский интерфейс отвечает. чтобы убедится что сервисы X-Road находятся в запущенном состоянии:
$ sudo systemctl reset-failed $ sudo systemctl list-units "xroad*" $ dpkg -l | grep "xroad"
Как обновить Сервер Безопасности с версии 7.0.4 до версии 7.2.1
Как обновиться с версии 7.0.4 на 7.2.1
Удалить репозиторий https://deb.tunduk.kg/ubuntu20.0-7.0.4 из файла /etc/apt/sources.list.d/xroad.list
$ sudo rm /etc/apt/sources.list.d/xroad.list
Добавить репозиторий в список источников пакетов ОС
$ echo "deb https://deb.tunduk.kg/ubuntu20.04-7.2.1-newCertificate /" | sudo tee -a /etc/apt/sources.list.d/xroad.list
Произвести обновление системы
$ sudo apt update && apt full-upgrade
Установка выполнена успешно, если запущены системные службы и пользовательский интерфейс отвечает. чтобы убедится что сервисы X-Road находятся в запущенном состоянии:
$ sudo systemctl list-units "xroad*"
Как обновиться с версии 7.2.1 на 7.2.2
Удалить репозиторий https://deb.tunduk.kg/ubuntu20.0-7.0.4 из файла /etc/apt/sources.list.d/xroad.list
$ sudo rm /etc/apt/sources.list.d/xroad.list
Добавить репозиторий в список источников пакетов ОС
$ echo "deb https://deb.tunduk.kg/ubuntu20.04-7.2.2 /" | sudo tee -a /etc/apt/sources.list.d/xroad.list
Произвести обновление системы
$ sudo apt update && apt full-upgrade
Установка выполнена успешно, если запущены системные службы и пользовательский интерфейс отвечает. чтобы убедится что сервисы X-Road находятся в запущенном состоянии:
$ sudo systemctl list-units "xroad*"
Автор Даниил Горбенко
Инструменты страницы
