Установка KOMRAD Enterprise SIEM 4.1.33 на ОСОН "ОСнова", версия 2

Эта страница была отправлена в архив, поскольку больше не является актуальной.

Аппаратные требования

Для установки KOMRAD на ОСОН "ОСнова" необходимо:

  • наличие установочного диска, диска с обновлением или развернутого сетевого репозитория;

  • версия ОСОН "ОСнова" не ниже 2;

Для работы KOMRAD на ОСОН «ОСнова» в режиме замкнутой программной среды (ЗПС) после установки по основной инструкции нужно:

1.Скопировать файл открытого ключа:

sudo cp echelon.der /etc/ima/certs/

2.Включить политику ЗПС:

sudo rm /etc/ima/policy
sudo ln -s /etc/ima/policy.d/appraise /etc/ima/policy
sudo update-initramfs -u -k all

3.Перезагрузить систему (после перезагрузки система загрузится уже в режиме ЗПС):

sudo reboot
Для выхода из режима ЗПС выполните следующие команды:
sudo rm /etc/ima/policy
sudo ln -s /etc/ima/policy.d/empty /etc/ima/policy
sudo update-initramfs -u -k all
sudo reboot

Установка и настройка PostgreSQL и ClickHouse

1.Установите и настройте PostgreSQL, выполнив команду в терминале:

sudo apt install postgresql -y

2.Перейдите в папку с дистрибутивом /osnova/db/clickhouse/ и в терминале введите:

sudo dpkg -i ./*.deb

3.Запустите ClickHouse командой в терминале:

sudo service clickhouse-server start

4.Создайте пароль для ClickHouse командой в терминале, указав вместо pass Ваш пароль. Внимание! Команда выполняется в одну строку:

echo "pass"; echo -n "pass" | sha256sum | tr -d '-'

В первой строке результата – пароль (pass). Вторая строка – соответствующий ему хэш SHA256 (pass_SHA256).

5.Создайте и откройте на редактирование файл:

sudo nano /etc/clickhouse-server/users.d/komrad.xml

Заполните содержимое файла следующим фрагментом:

<yandex>
    <users>
        <komrad>
            <password remove='1' />
            <password_sha256_hex>pass_SHA256</password_sha256_hex>
        </komrad>
    </users>
</yandex>

Где вместо pass_SHA256 вставьте сгенерированный хэш, соответствующий вашему паролю.

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

6.Откройте файл, выполнив:

sudo nano /etc/clickhouse-server/users.xml

Добавьте пользователя komrad в группу пользователей, для чего приведите фрагмент файла к виду:

<!-- Users and ACL. -->
    <users>
        <komrad>
                <access_management>1</access_management>
                <password></password>
        </komrad>
        <!-- If user name was not specified, 'default' user is used. -->
        <default>
Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

7.Перезапустите сервер ClickHouse, выполнив:

sudo systemctl restart clickhouse-server.service

Задание прав пользователя на создание баз данных и создание базы данных

1.Чтобы создать нового пользователя, откройте аккаунт стандартного пользователя:

sudo su - postgres

2.Наделите пользователя правами на создание новых баз данных, где вместо pass – установите пароль для пользователя postgres:

psql -c "ALTER USER postgres WITH CREATEDB LOGIN PASSWORD 'pass';"

3.Установите расширение, выполнив:

psql -c "CREATE EXTENSION pg_trgm;"

4.Создайте базы данных, выполнив:

createdb -O postgres komrad-preferences
createdb -O postgres pauth-preferences
createdb -O postgres scanner
exit

5.Запустите клиент ClickHouse, используя данные пользователя komrad, где вместо pass – укажите пароль, заданный при установке ClickHouse:

clickhouse-client --user=komrad --password=pass

6.Создайте базу данных, выполнив:

CREATE DATABASE komrad_events
exit

Установка модуль сканирования сети Nmap

Перейдите в папку с утилитами /osnova/tools и через терминал выполните команду:

sudo dpkg -i ./*.deb

Установка KOMRAD

Перейдите в папку с дистрибутивом /osnova/deb и через терминал выполните команду:

sudo dpkg -i ./*.deb

Редактирование yaml-файлов

1.Откройте файл komrad-processor.yaml, выполнив через команду в терминале:

sudo nano /etc/echelon/komrad/komrad-processor.yaml

Приведите фрагмент файла к данному виду:

# Настройки подключения к бд хранящей конфигурацию виджетов
widgetsdb:
  TLSCertPath: /var/lib/echelon/komrad/certs/client.pem
  TLSKeyPath: /var/lib/echelon/komrad/certs/client-key.pem
  TLSRootCAPath: /var/lib/echelon/komrad/certs/ca.pem
  db: komrad-preferences
  host: localhost
  password: pass # укажите пароль для пользователя postgres (PostgreSQL)
  port: 5432
  tlsmode: verify-full
  user: postgres

# Настройки хранилища событий информационной безопасности
storage:
  # Тип хранилища, в данной версии поддерживается только:
  # - timescale - PostgreSQL 12+ с плагином TimescaleDB 2.2.1+
  # - clickhouse - ClickHouse v21.7.8.58-stable
  # Для ОС "Основа" поддерживается PostgreSQL 11 с TimescaleDB 2.2.1
  kind: clickhouse
  clickhouse:
    # Название БД
    name: komrad_events
    user: komrad
    password: pass # укажите пароль для пользователя komrad (ClickHouse)
    # Адрес хоста с ClickHouse-server
    host: localhost
    # Порт ClickHouse-server
    port: 9000
    # Режим работы - с TLS или без
    sslmode: disable
Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

2.Откройте файл komrad-server.yaml, выполнив:

sudo nano /etc/echelon/komrad/komrad-server.yaml

Отредактируйте:

database:
pg:
  db: komrad-preferences
  host: localhost
  password: pass # укажите пароль для пользователя postgres (PostgreSQL)
  port: 5432
  tlsmode: verify-full
  user: postgres
Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

3.Откройте файл komrad-correlation-dispatcher.yaml, выполнив:

sudo nano /etc/echelon/komrad/correlation-dispatcher.yaml
# Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode...

CorrelatorController:
  # Настройка подключения к БД PostgreSQL в формате URL для корреляторов.
  CorrelatorDB:postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode...

Где в pass – укажите пароль пользователя postgres (PostgreSQL).

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

4.Откройте файл komrad-incident-manager.yaml, выполнив:

sudo nano /etc/echelon/komrad/komrad-incident-manager.yaml

Отредактируйте:

# Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode...

Где в pass – укажите пароль пользователя postgres (PostgreSQL).

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

5.Откройте файл pauth-server.yaml выполнив:

sudo nano /etc/echelon/komrad/pauth-server.yaml

Отредактируйте:

database: postgres://postgres:pass@localhost:5432/pauth-preferences?sslmode...

Где в pass – укажите пароль пользователя postgres (PostgreSQL).

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

6.Откройте komrad-scanner-config.json, выполнив:

sudo nano /etc/echelon/komrad/komrad-scanner-config.json

Отредактируйте:

"Main": {
      "Driver": "postgres",
      "Host": "localhost",
      "Port": 5432,
      "DBName": "scanner",
      "User": "postgres",
      "Password": "pass",
      "SSLMode": "disable"
             }

Где в pass – укажите пароль пользователя postgres (PostgreSQL).

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

7.Откройте postgresql.conf, выполнив:

sudo nano /etc/postgresql/11/main/postgresql.conf

8.Раскомментируйте и добавьте пути до сертификатов:

ssl = on
ssl_ca_file = '/var/lib/echelon/komrad/certs/ca.pem'
ssl_key_file = '/var/lib/echelon/komrad/certs/server-key.pem'
ssl_cert_file = '/var/lib/echelon/komrad/certs/server.pem'
Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

9.Перезагрузите сервисы, выполнив команду в одну строчку:

sudo systemctl restart postgresql komrad-server komrad-processor komrad-scanner pauth-server  komrad-correlation-dispatcher komrad-incident-manager

Создание ролей администратора и пользователя с правами администратора

Создайте роль администратора и пользователя с правами администратора через команды в терминале.

Внимание! Каждая отдельная команда пишется одну строчку:

sudo pauthctl role add admin --migrate --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"

О успешном добавлении роли admin в строке сервиса будет строка:

INFO roles added {"role_names": ["admin"], "status": "success"}

Теперь роль пользователя:

sudo pauthctl role add user --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"

О успешном добавлении роли user в строке сервиса будет строка:

INFO roles added {"role_names": ["user"], "status": "success"}

Далее:

sudo pauthctl user add --email name@domain.com --login admin --roles admin --password admin --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"

Где:

pass – укажите пароль пользователя postgres (PostgreSQL);

e-mail name@domain.com – укажите свой e-mail адрес администратора;

login admin – укажите свой логин администратора;

password admin – укажите свой пароль администратора.

Перенос лицензии

1.Удалите демо-лицензию из папки /etc/echelon/komrad/license командой в терминале:

sudo rm /etc/echelon/komrad/license/license.lic

2.Скопируйте в папку /etc/echelon/komrad/license файл лицензии с расширением (.lic).

3.Перезапустите сервисы komrad-server, komrad-processor, pauth-server командой в терминале:

sudo systemctl restart komrad-server komrad-processor pauth-server

Создание сертификатов

Внимание! Дальнейшие действия желательно выполнять на отдельной ЭВМ, где в дальнейшем будут храниться корневые сертификаты, необходимые для корректной работы компонентов KOMRAD.

Создание сертификатов:

1.Создайте на жестком диске папку /tls:

mkdir tls

2.Перейдите в папку /tls и выполните команду в терминале для создания корневого сертификата:

cd tls
echelontls ca --organization “Echelon”

Где вместо Echelon укажите название своей организации.

В папке /tls сгенерируются два файла ca.pem и ca-key.pem.

3.Создайте серверный сертификат командой в терминале:

echelontls cert --organization “Echelon” localhost 127.0.0.1 $(hostname -I) $(hostname)

Где вместо Echelon укажите название своей организации.

В папке /tls сгенерируются два файла server.pem и server-key.pem

4.Создайте клиентский сертификат командой в терминале:

echelontls cert --client

В папке /tls сгенерируются два файла client.pem и client-key.pem

5.Создайте сертификат для браузера командой в терминале:

echelontls browser

Внимание! При генерации сертификата для браузера, утилита komradtls попросит задать пароль. Этот пароль потребуется при добавлении сертификата в браузер, поэтому запомните этот пароль.

В папке /tls сгенерируется файл client-browser.p12.

Удаление сертификатов по умолчанию

Удалите все сертификаты из папки с сертификатами по умолчанию командой в терминале:

sudo rm /var/lib/echelon/komrad/certs/CAs/*
sudo rm /var/lib/echelon/komrad/certs/*

Копирование сертификатов

Скопируйте сертификаты в следующие папки:

1.Файлы ca.pem, server.pem, server-key.pem, client.pem, client-key.pem в /var/lib/echelon/komrad/certs/ командой терминале:

sudo cp ca.pem server.pem server-key.pem client.pem client-key.pem /var/lib/echelon/komrad/certs/

Внимание! Команда выполняется в одну строчку.

2.Файл ca.pem в /var/lib/echelon/komrad/certs/CAs/ командой:

sudo cp ca.pem /var/lib/echelon/komrad/certs/CAs/

Изменение владельца файлов на komrad:komrad и предоставление прав сертификатам

Введите команды в терминале:

sudo chown komrad:komrad  /etc/echelon/komrad/license/имя_лицензии.lic
sudo chown -R komrad:komrad  /var/lib/echelon/komrad/certs
sudo chmod -R 755 /var/lib/echelon/komrad/certs
sudo chmod 0640 /var/lib/echelon/komrad/certs/server-key.pem
sudo chown root:komrad /var/lib/echelon/komrad/certs/server-key.pem
sudo usermod -a -G komrad postgres
sudo chmod 755 client-browser.p12

Где в имя_лицензии — укажите наименование файла лицензии.

Перезапуск сервисов

Перезагрузите систему.

Установка корневого сертификата в браузере

Выполните следующие действия:

1.Откройте Firefox → Настройки → Приватность и защита → Сертификаты → Просмотр сертификатов;

2.Перейдите во вкладку Ваши сертификаты меню Управления сертификатами;

3.Импортируйте сертификаты ca.pem в «Доверенные корневые центры сертификации»

4.Перезагрузите браузер.

Конец

KOMRAD установлен и доступен по адресу localhost.