7.1. Встановлення шлюзу безпечного обміну вручну
6.7.1.1. Налаштування вбудованого міжмережевого екрану
З метою увімкнення мережевого захисту з використанням вбудованого міжмережевого екрану, необхідно виконати налаштування шлюзу безпечного обміну за допомогою брандмауера IPtables та командної утиліти ufw.
Перед налаштуванням міжмережевого екрану необхідно:
1. Підготувати відомості про адреси наступних локальних компонентів системи «Трембіта»:
- мережеву адресу серверу робочої станції адміністратора (<IP_РС_адміністратора>, при виконанні команд необхідно замінити на реальне значення);
- мережеву адресу серверу баз даних та архівування (< IP_серверу_баз_даних_та_архівування>, при виконанні команд необхідно замінити на реальне значення);
- мережеву адресу серверу аналізу журналів подій (<IP_серверу_аналізу_журналів_подій>, при виконанні команд необхідно замінити на реальне значення);
- мережеву адресу серверів з вебсервісами та вебклієнтами, які реєструється на шлюзі безпечного обміну (<IP_вебсервіс> та <IP_вебклієнт>, при виконанні команд необхідно замінити на реальне значення. У випадку необхідності можна продублювати команди з цими скороченнями для всіх серверів з вебсервісами та вебклієнтами);
2. Послідовно виконати наступні команди на шлюзі безпечного обміну, відповідно вказуючи адреси з попереднього пункту:
sudo ufw allow from <IP_РС_адміністратора> to any port 22 proto tcp
sudo ufw enable
sudo ufw default deny outgoing
sudo ufw default deny incoming
sudo ufw allow in 5500/tcp
sudo ufw allow out 5500/tcp
sudo ufw allow in 5577/tcp
sudo ufw allow out 5577/tcp
sudo ufw allow in 5599/tcp
sudo ufw allow out 5599/tcp
sudo ufw allow out 4001/tcp
sudo ufw allow from <IP_РС_адміністратора> to any port 4000 proto tcp
sudo ufw allow out 80/tcp
sudo ufw allow out 82/tcp
sudo ufw allow out 443/tcp
sudo ufw allow out 8080/tcp
sudo ufw allow out 8081/tcp
sudo ufw allow from <IP_вебклієнт> to any port 80 proto tcp
sudo ufw allow from <IP_вебклієнт> to any port 443 proto tcp
sudo ufw allow out 53
sudo ufw allow in 53/tcp
sudo ufw allow out 123/udp
sudo ufw allow out 11371/tcp
sudo ufw allow out from any to <IP_серверу_аналізу_журналів_подій> port 1514
sudo ufw allow out from any to <IP_серверу_баз_даних_та_архівування> port 5432 proto tcp7.1.1. Додавання репозиторію з пакетами системи «Трембіта»
Для додавання репозиторію з пакетами системи «Трембіта» необхідно закоментувати всі вже існуючі рядки у файлі /etc/apt/sources.list (вставляючи символ # на початку кожного рядку) та додати наступний новий рядок в кінці файлу:
deb https:https://project-repo.trembita.gov.ua:8081/repository/ss-1.12.6/ bionic main
Швидко це зробити можна за допомогою послідовного виконання наступних двох команд, перша з яких додає символ коментування "#" до кожного непустого рядку, а друга - додає новий рядок з посиланням на репозиторій в кінець даного файлу:
sudo sed -i 's/^[A-Za-z0-9]/#&/' /etc/apt/sources.list
echo ' deb https://project-repo.trembita.gov.ua:8081/repository/ss-1.12.6/ bionic main' | sudo tee -a /etc/apt/sources.listПеревірити результат виконання команд можна за допомогою текстового редактора nano, відкривши файл на редагування за допомогою наступної команди:
sudo nano /etc/apt/sources.list6.1.2. Додавання GPG ключа для репозиторію
Для встановлення програмного забезпечення з репозиторію системи «Трембіта» потрібно завантажити та додати в систему GPG ключ даного репозиторію.
Для цього Адміністратору локальних компонентів (системному адміністратору) необхідно виконати наступну команду:
sudo wget -O - https://project-repo.trembita.gov.ua:8081//public-keys/public.key.txt | sudo apt-key add -Якщо команда виконана успішно, буде виведено повідомлення «ОК»
.
6.1.3. Налаштування локалі
Якщо локалі en_US.utf8 немає в системі, Адміністратору локальних компонентів (системному адміністратору) необхідно згенерувати її за допомогою послідовного виконання наступних команд:
sudo locale-gen en_US.UTF-8
sudo dpkg-reconfigure localesУ наступному діалоговому вікні необхідно знайти запис «en_US.UTF-8 UTF-8» та встановити відповідну позначку шляхом натискання кнопки [SPACE] та натиснути на кнопку [ENTER]:
У діалоговому вікні «Default locale for a system environment» потрібно обрати en_US.UTF-8 та перезайти в обліковий запис користувача (наприклад, закривши поточну та ініціювавши нову сесію SSH).
В операційній системі ШБО має бути встановлена локаль en_US.UTF-8. Для встановлення даної локалі необхідно виконати наступну команду:
echo 'LC_ALL=en_US.UTF-8' | sudo tee -a /etc/environmentта перезавантажити змінні оточення за допомогою виконання наступної команди:
. /etc/environmentПримітка. Варто звернути увагу на наявність пробілу після першої крапки у команді вище.
6.1.4. Встановлення пакету uxp-securityserver-ua
Для встановлення програмного забезпечення UXP Security Server для шлюзу безпечного обміну використовується команда apt. Перед встановленням потрібно оновити список доступних пакетів з репозиторію системи «Трембіта».
Для встановлення зазначеного програмного забезпечення Адміністратору локальних компонентів (системному адміністратору) необхідно послідовно виконати наступні команди:
sudo apt update
sudo apt install -y uxp-securityserver-uaПід час встановлення необхідно ввести ім’я облікового запису (логін) Адміністратора вебсервісів, що буде адмініструвати функціонал шлюзу безпечного обміну - наприклад uxpadmin:
Цей користувач зможе авторизуватись в вебінтерфейсі адміністрування шлюзу безпечного обміну.
Для перевірки стану виконання встановлених компонентів ПЗ UXP Security Server після інсталяції ШБО необхідно виконати наступну команду:
sudo systemctl list-units | grep "uxp"Список сервісів UXP, які мають бути активні (active/running):
uxp-confclient.service
uxp-jetty.service
uxp-monitor.service
uxp-proxy.service
uxp-signer.service6.1.5. Додавання додаткового облікового запису Адміністратора вебсервісів
Важливо! В разі, якщо виникає необхідність роботи з вебінтерфейсом ШБО у декількох співробітників Учасника системи "Трембіта", кожен з них обов'язково повинен мати власний обліковий запис!
Шлюз безпечного обміну використовує локальних користувачів і групи операційної системи для контролю доступу до вебінтерфейсу адміністрування шлюзу безпечного обміну.
Обліковий запис, що використовується для входу в вебінтерфейс шлюзу безпечного обміну - це обліковий запис Адміністратора вебсервісів (за замовчуванням з логіном uxpadmin).
Для створення додаткового облікового запису Адміністратора вебсервісів, Адміністратору локальних компонентів (системний адміністратор) необхідно:
1. Послідовно виконати наступні команди:
sudo useradd -M -N <username>
sudo chsh -s /bin/false <username>
sudo passwd <username>де <username> - логін створюваного користувача латиницею.
2. Ввести пароль нового користувача двічі.
6.1.6. Додавання додаткового облікового запису Відповідального за управління ключами
В випадку, коли локальні компоненти системи «Трембіта» адмініструє Оператор, уповноваженому співробітнику Суб’єкта електронної взаємодії, що відповідає за встановлення інформаційної взаємодії та управління особистими ключами електронної печатки (Відповідальний за управління ключами), потрібно надати доступ до функціоналу ШБО.
Для цього потрібно створити обліковий запис Відповідального за управління ключами, який буде використовуватись для входу в вебінтерфейс шлюзу безпечного обміну, шляхом послідовного виконання наступних команд:
sudo useradd -M -N <security-officer>
adduser <security-officer> uxp-security-officer
sudo chsh -s /bin/false <security-officer>
sudo passwd <security-officer>де <security-officer> - логін створюваного користувача латиницею.
Після виконання цих команд необхідно ввести пароль нового користувача двічі.