Руководство администратора ИБ

Руководство администратора ИБ модуля управления ПО “Скала^р Геном” версия 1.17#

1 Смена паролей технологических учётных записей#

1.1 Смена пароля служебной БД#

  1. Подключиться по SSH к машине, на которой установлен модуль управления ПО “Скала^р Геном”. Для этого необходимо запустить консоль / терминал и выполнить команду подключения по SSH:
 ssh root@xxx.xxx.xxx.xxx

где xxx.xxx.xxx.xxx – IP-адрес узла, на котором установлен модуль управления ПО “Скала^р Геном”:

  1. Подключиться к базе данных пользователем postgres командой:
 psql -U postgres

  1. Сменить пароль на необходимый, выполнив следующий запрос:
 ALTER USER postgres with password '1234567890';

где ‘1234567890’ – устанавливаемый пароль:

  1. Запустить виртуальное окружение следующей командой:
 source /opt/skala-r/genome/python-modules/bin/activate

  1. После запуска виртуального окружения открыть для редактирования файл .vault_store следующей командой:
 ansible-vault edit /opt/skala-r/genome/.vault_store

После ввода команды появится уведомление о необходимости ввода пароля доступа к файлу .vault_store. Ввести пароль и нажать Enter.

Пароль доступа к файлу устанавливается на этапе сборки инсталлятора модуля управления ПО “Скала^р Геном”.

  1. После успешного ввода пароля доступа к файлу .vault_store отобразится окно редактирования доступов:

  1. Отредактировать пароль к служебной БД, изменив значение после двоеточия в строке pgpassword.

  2. Сохранить изменения в файле и выйти из режима редактирования.

  3. Выйти из виртуального окружения следующей командой:

 deactivate
  1. Перезапустить сервис genome_ng.service следующей командой:
 systemctl restart genome_ng.service

1.2 Смена токена для взаимодействия АС ЦАП (Keycloack, Avanpost)#

Идентификатор приложения, используемый в модуле управления ПО “Скала^р Геном” для интеграции с ЦАП, задается в конфигурационном файле. Для его изменения необходимо отредактировать значение параметра client_id в конфигурационном файле /opt/skala-r/etc/genome_mgmt/genome.json в секции auth:

Секрет приложения должен быть задан в хранилище секретов Vault с ключом client_secret.

Для изменения / задания значения секрета необходимо выполнить следующие шаги:

  1. Запустить виртуальное окружение следующей командой:
 source /opt/skala-r/genome/python-modules/bin/activate

  1. После запуска виртуального окружения открыть для редактирования файл .vault_store следующей командой:
 ansible-vault edit /opt/skala-r/genome/.vault_store

После ввода команды появится уведомление о необходимости ввода пароля доступа к файлу .vault_store. Ввести пароль и нажать Enter . Пароль доступа к файлу устанавливается на этапе сборки инсталлятора модуля управления ПО “Скала^р Геном”.

  1. После успешного ввода пароля доступа к файлу .vault_store отобразится окно редактирования доступов:

Отредактировать токен, изменив значение после двоеточия в строке client_secret.

  1. Сохранить изменения в файле и выйти из режима редактирования.

  2. Выйти из виртуального окружения следующей командой:

 deactivate

  1. Перезапустить сервис genome_ng.service следующей командой:
 systemctl restart genome_ng.service

1.3 Смена токена доступа к API Агента Генома#

Значение токена задано в хранилище секретов Vault с ключом agent_token.

Для изменения значения токена необходимо выполнить следующие шаги:

  1. Запустить виртуальное окружение следующей командой:
 source /opt/skala-r/genome/python-modules/bin/activate

  1. После запуска виртуального окружения открыть для редактирования файл .vault_store следующей командой:
 ansible-vault edit /opt/skala-r/genome/.vault_store

После ввода команды появится уведомление о необходимости ввода пароля доступа к файлу .vault_store. Ввести пароль и нажать клавишу Enter. Пароль доступа к файлу устанавливается на этапе сборки инсталлятора модуля управления ПО “Скала^р Геном”.

  1. После успешного ввода пароля доступа к файлу .vault_store отобразится окно редактирования доступов:

Отредактировать токен, изменив значение после двоеточия в строке agent_token.

  1. Сохранить изменения в файле и выйти из режима редактирования.

  2. Выйти из виртуального окружения следующей командой:

 deactivate

  1. Перезапустить сервис genome_ng.service следующей командой:
 systemctl restart genome_ng.service

1.4 Смена пароля учётной записи компонентов модуля управления ПО “Скала^р Геном”#

Системная учетная запись genome предназначена для запуска компонентов модуля управления ПО “Скала^р Геном”. Она не имеет пароля и не используется для интерактивного входа.

1.5 Смена пароля учётной записи для создания туннеля#

Системная учетная запись tunnel_user предназначена для создания SHH-туннеля к BMC узлов ПАК. Она не имеет пароля и не используется для интерактивного входа.

1.6 Смена пароля учётной записи на узлах ПАКа#

Системная служебная учетная запись genome на узлах ПАК предназначена для обновления ПО узла и сбора информации о программном и аппаратном обеспечении узла. Вход осуществляется по ключу, пароль не используется.

2 Настройка парольной полтитики для учётных записей#

2.1 Учётные записи СУБД (Postgres)#

Парольная политика задается стандартными средствами Postgres командой CREATE PROFILE. Полное описание процесса настройки представлено на странице https://postgrespro.ru/docs/enterprise/13/sql-createprofile .

2.2 Учётные записи Keycloak#

Парольная политика настраивается стандартными средствами Keycloak в realm, раздел Authentification, вкладка Password Policy:

2.3 Учётные записи Linux#

Парольная политика настраивается стандартными средствами Linux.

3 Настройка конфигураций систем управления доступом#

Для управления доступом к веб-интерфейсу модуля управления ПО “Скала^р Геном” могут быть использованы внешние системы управления доступом и идентификацией:

  • Keycloak;
  • Avanpost FAM.

3.1 Ролевая модель#

Пользователи могут обладать ролями “Читатель” (reader), либо “Писатель” (writer):

  • reader - только чтение (просмотр состава ПАК и статуса его узлов, скачивание паспортов ПАК);
  • writer - полный доступ (управление и установка обновлений, замена узла).

Роли и учетные записи пользователей настраиваются в соответствующей внешней системе управления доступом и идентификацией.

3.2 Настройка конфигурации Avanpost#

В конфигурационный файл /opt/skala-r/etc/genome_mgmt/genome.json необходимо внести следующие изменения.

В ключе “auth” необходимо указать:

  • enabled - установить значение true.
  • auth_server - URL Avanpost, например http://fam.skala-r.tech .
  • client_id - ID приложения.
  • cert - использование сертификата.

Пример секции авторизации в файле /opt/skala-r/etc/genome_mgmt/genome.json:

 "auth": { 
    "enabled": true,
    "client_id": "dc16aebe-6f76-4c0d-9013-a1e7b73a078c",
    "auth_server": "http://fam.skala-r.tech",
    "realm": "",
    "cert": false 
 }

В хранилище секретов Vault необходимо внести значение client_secret (см. раздел 1.2).

Для применения настроек необходимо перезапустить сервис genome_ng.service командой:

 systemctl restart genome_ng.service

Отключение функции регистрации и восстановления пароля

В версии Avanpost FAM v1.10.10.379 отключение Регистрации на странице аутентификации пользователя осуществляется через конфигурационный файл Avanpost, пример пути конфигурационного файла: /opt/idp/config.toml:

[selfregistration]
redirectUrl = 'https://<your_redirect_URL_after_registration>'
disabled = false

Функция “Восстановления пароля” в данной версии отключается через редактирование шаблона страницы аутентификации.

3.3 Настройка конфигурации Keycloak#

В конфигурационный файл /opt/skala-r/etc/genome_mgmt/genome.json необходимо внести следующие изменения.

В ключе “auth” необходимо указать:

  • enabled - установить значение true.
  • auth_server - URL Keycloak, например http://192.168.191.19:8080.
  • client_id - ID приложения.
  • realm - realm.
  • cert - использование сертификата.

Пример секции авторизации в файле /opt/skala-r/etc/genome_mgmt/genome.json:

 "auth": {
   "enabled": true,
   "client_id": "genome-client",
   "auth_server": "http://192.168.191.19:8080",
   "realm": "genome",
   "cert": false
  }