Руководство администратора ИБ

Руководство администратора ИБ модуля управления ПО “Скала^р Геном” версия 1.18.1#

1 Смена паролей технологических учётных записей#

1.1 Смена пароля служебной БД#

  1. Подключиться по SSH к машине, на которой установлен модуль управления ПО “Скала^р Геном”. Для этого необходимо запустить консоль / терминал и выполнить команду подключения по SSH:
 ssh root@xxx.xxx.xxx.xxx

где xxx.xxx.xxx.xxx – IP-адрес узла, на котором установлен модуль управления ПО “Скала^р Геном”:

  1. Подключиться к базе данных пользователем genome командой:
 psql -U genome

  1. Сменить пароль на необходимый, выполнив следующий запрос:
 ALTER USER genome with password '1234567890';

где ‘1234567890’ – устанавливаемый пароль:

  1. Запустить виртуальное окружение следующей командой:
 source /opt/skala-r/genome/python-modules/bin/activate

  1. После запуска виртуального окружения открыть для редактирования файл .vault_store следующей командой:
 ansible-vault edit /opt/skala-r/genome/.vault_store

После ввода команды появится уведомление о необходимости ввода пароля доступа к файлу .vault_store. Ввести пароль и нажать Enter.

Пароль доступа к файлу устанавливается на этапе сборки инсталлятора модуля управления ПО “Скала^р Геном”.

  1. После успешного ввода пароля доступа к файлу .vault_store отобразится окно редактирования доступов:

  1. Отредактировать пароль к служебной БД, изменив значение после двоеточия в строке pgpassword.

  2. Сохранить изменения в файле и выйти из режима редактирования.

  3. Выйти из виртуального окружения следующей командой:

 deactivate
  1. Перезапустить сервис genome_ng.service следующей командой:
 systemctl restart genome_ng.service

1.2 Смена токена для взаимодействия АС ЦАП (Keycloack, BVS)#

Идентификатор приложения, используемый в модуле управления ПО “Скала^р Геном” для интеграции с ЦАП, задается в конфигурационном файле. Для его изменения необходимо отредактировать значение параметра client_id в конфигурационном файле /opt/skala-r/etc/genome_mgmt/genome.json в секции auth:

Секрет приложения должен быть задан в хранилище секретов Vault с ключом client_secret.

Для изменения / задания значения секрета необходимо выполнить следующие шаги:

  1. Запустить виртуальное окружение следующей командой:
 source /opt/skala-r/genome/python-modules/bin/activate

  1. После запуска виртуального окружения открыть для редактирования файл .vault_store следующей командой:
 ansible-vault edit /opt/skala-r/genome/.vault_store

После ввода команды появится уведомление о необходимости ввода пароля доступа к файлу .vault_store. Ввести пароль и нажать Enter . Пароль доступа к файлу устанавливается на этапе сборки инсталлятора модуля управления ПО “Скала^р Геном”.

  1. После успешного ввода пароля доступа к файлу .vault_store отобразится окно редактирования доступов:

Отредактировать токен, изменив значение после двоеточия в строке client_secret.

  1. Сохранить изменения в файле и выйти из режима редактирования.

  2. Выйти из виртуального окружения следующей командой:

 deactivate

  1. Перезапустить сервис genome_ng.service следующей командой:
 systemctl restart genome_ng.service

1.3 Смена токена доступа к API Агента Генома#

Значение токена задано в хранилище секретов Vault с ключом agent_token.

Для изменения значения токена необходимо выполнить следующие шаги:

  1. Запустить виртуальное окружение следующей командой:
 source /opt/skala-r/genome/python-modules/bin/activate

  1. После запуска виртуального окружения открыть для редактирования файл .vault_store следующей командой:
 ansible-vault edit /opt/skala-r/genome/.vault_store

После ввода команды появится уведомление о необходимости ввода пароля доступа к файлу .vault_store. Ввести пароль и нажать клавишу Enter. Пароль доступа к файлу устанавливается на этапе сборки инсталлятора модуля управления ПО “Скала^р Геном”.

  1. После успешного ввода пароля доступа к файлу .vault_store отобразится окно редактирования доступов:

Отредактировать токен, изменив значение после двоеточия в строке agent_token.

  1. Сохранить изменения в файле и выйти из режима редактирования.

  2. Выйти из виртуального окружения следующей командой:

 deactivate

  1. Перезапустить сервис genome_ng.service следующей командой:
 systemctl restart genome_ng.service

1.4 Смена пароля учётной записи компонентов модуля управления ПО “Скала^р Геном”#

Системная учетная запись genome создается только в случае отдельной инсталляции модуля управления ПО “Скала^р Геном” без ПО “Скала^р Геном” и предназначена для запуска компонентов модуля управления ПО “Скала^р Геном”. Она не имеет пароля и не используется для интерактивного входа.

1.5 Смена пароля учётной записи для создания туннеля#

Системная учетная запись tunnel_user предназначена для создания SHH-туннеля к BMC узлов ПАК. Она не имеет пароля и не используется для интерактивного входа.

1.6 Смена пароля учётной записи на узлах ПАКа#

Системная служебная учетная запись genome на узлах ПАК предназначена для обновления ПО узла и сбора информации о программном и аппаратном обеспечении узла. Вход осуществляется по ключу, пароль не используется.

2 Настройка парольной полтитики для учётных записей#

2.1 Учётные записи СУБД (Postgres)#

Парольная политика задается стандартными средствами Postgres командой CREATE PROFILE. Полное описание процесса настройки представлено на странице https://postgrespro.ru/docs/enterprise/13/sql-createprofile .

2.2 Учётные записи Keycloak#

Парольная политика настраивается стандартными средствами Keycloak в realm, раздел Authentification, вкладка Password Policy:

2.3 Учётные записи Linux#

Парольная политика настраивается стандартными средствами Linux.

3 Настройка конфигураций систем управления доступом#

Для управления доступом к веб-интерфейсу модуля управления ПО “Скала^р Геном” могут быть использованы внешние системы управления доступом и идентификацией:

  • Keycloak;
  • BVS.

3.1 Ролевая модель#

Пользователи могут обладать ролями “Читатель” (reader), либо “Писатель” (writer):

  • reader - только чтение (просмотр состава ПАК и статуса его узлов, скачивание паспортов ПАК);
  • writer - полный доступ (управление и установка обновлений, замена узла).

Роли и учетные записи пользователей настраиваются в соответствующей внешней системе управления доступом и идентификацией.

3.2 Настройка конфигурации Keycloack#

В конфигурационный файл /opt/skala-r/etc/genome_mgmt/genome.json необходимо внести следующие изменения.

В ключе “auth” необходимо указать:

  • enabled - установить значение true.
  • auth_server - URL Keycloak, например “http://192.168.191.19:8080”.
  • client_id - ID приложения.
  • client_secret - значение является ключом из хранилища секретов. Не изменять.
  • realm - realm
  • cert - использование сертификата.

Пример секции авторизации в файле /opt/skala-r/etc/genome_mgmt/genome.json:

 "auth": { 
    "enabled": true,
    "client_id": "genome-client",
    "auth_server": "http://192.168.191.19:8080",
    "realm": "genome",
    "cert": false 
 }

Параметр client_secret должен быть внесён в файл /opt/skala-r/genome/.vault_store. Для его редактирования необходимо запустить окружение:

source /opt/skala-r/genome/python-modules/bin/activate

Запустить команду вызова редактирования файла .vault_store:

source /opt/skala-r/genome/python-modules/bin/activate && python3 -c 'import storage; print(storage.get_initial_data())'

Ввести корректный пароль.

Если местоположение пароля известно, выполнить в консоли на машине с Геном.БР команду:

ansible-vault edit /opt/skala-r/genome/.vault_store

Если местоположение пароля неизвестно, найти расположение модуля python:

find /opt/skala-r/genome/ -name "storage.*.so" -execdir python3 -c 'import storage; print(storage.get_initial_data())' {} \;

Для применения настроек необходимо перезапустить сервис genome_ng.service:

systemctl restart genome_ng.service

3.3 Настройка конфигурации BVS#

В конфигурационный файл /opt/skala-r/etc/genome_mgmt/genome.json необходимо внести следующие изменения.

В ключе “auth” необходимо указать:

  • enabled - установить значение true.
  • auth_server - URL BVS, например “http://bvs-public.skala-r.tech/" .
  • client_id - ID приложения.
  • realm - realm.
  • cert - использование сертификата.

Пример секции авторизации в файле /opt/skala-r/etc/genome_mgmt/genome.json:

 "auth": {
    "enabled": true,
    "client_id": "genome-client",
    "auth_server": "http://bvs-public.skala-r.tech/",
    "realm": "genome",
    "tls_insecure_skip_verify": true,
    "request_timeout": 5,
    "cert": false
  }

Параметр client_secret должен быть внесён в файл /opt/skala-r/genome/.vault_store. Для его редактирования необходимо запустить окружение:

source /opt/skala-r/genome/python-modules/bin/activate

Запустить команду вызова редактирования файла .vault_store:

source /opt/skala-r/genome/python-modules/bin/activate && python3 -c 'import storage; print(storage.get_initial_data())'

Ввести корректный пароль.

Если местоположение пароля известно, выполнить в консоли на машине с Геном.БР команду:

ansible-vault edit /opt/skala-r/genome/.vault_store

Если местоположение пароля неизвестно, найти расположение модуля python:

find /opt/skala-r/genome/ -name "storage.*.so" -execdir python3 -c 'import storage; print(storage.get_initial_data())' {} \;

Для применения настроек необходимо перезапустить сервис genome_ng.service:

systemctl restart genome_ng.service