Установка KOMRAD Enterprise SIEM 4.1.33 на ОСОН "ОСнова", версия 2
Эта страница была отправлена в архив, поскольку больше не является актуальной. |
Аппаратные требования
Для установки KOMRAD на ОСОН "ОСнова" необходимо:
-
наличие установочного диска, диска с обновлением или развернутого сетевого репозитория;
-
версия ОСОН "ОСнова" не ниже 2;
Для работы KOMRAD на ОСОН «ОСнова» в режиме замкнутой программной среды (ЗПС) после установки по основной инструкции нужно:
1.Скопировать файл открытого ключа:
sudo cp echelon.der /etc/ima/certs/
2.Включить политику ЗПС:
sudo rm /etc/ima/policy
sudo ln -s /etc/ima/policy.d/appraise /etc/ima/policy
sudo update-initramfs -u -k all
3.Перезагрузить систему (после перезагрузки система загрузится уже в режиме ЗПС):
sudo reboot
Для выхода из режима ЗПС выполните следующие команды: |
sudo rm /etc/ima/policy
sudo ln -s /etc/ima/policy.d/empty /etc/ima/policy
sudo update-initramfs -u -k all
sudo reboot
Установка и настройка PostgreSQL и ClickHouse
1.Установите и настройте PostgreSQL, выполнив команду в терминале:
sudo apt install postgresql -y
2.Перейдите в папку с дистрибутивом /osnova/db/clickhouse/ и в терминале введите:
sudo dpkg -i ./*.deb
3.Запустите ClickHouse командой в терминале:
sudo service clickhouse-server start
4.Создайте пароль для ClickHouse командой в терминале, указав вместо pass Ваш пароль. Внимание! Команда выполняется в одну строку:
echo "pass"; echo -n "pass" | sha256sum | tr -d '-'
В первой строке результата – пароль (pass). Вторая строка – соответствующий ему хэш SHA256 (pass_SHA256).
5.Создайте и откройте на редактирование файл:
sudo nano /etc/clickhouse-server/users.d/komrad.xml
Заполните содержимое файла следующим фрагментом:
<yandex>
<users>
<komrad>
<password remove='1' />
<password_sha256_hex>pass_SHA256</password_sha256_hex>
</komrad>
</users>
</yandex>
Где вместо pass_SHA256 вставьте сгенерированный хэш, соответствующий вашему паролю.
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
6.Откройте файл, выполнив:
sudo nano /etc/clickhouse-server/users.xml
Добавьте пользователя komrad в группу пользователей, для чего приведите фрагмент файла к виду:
<!-- Users and ACL. -->
<users>
<komrad>
<access_management>1</access_management>
<password></password>
</komrad>
<!-- If user name was not specified, 'default' user is used. -->
<default>
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
7.Перезапустите сервер ClickHouse, выполнив:
sudo systemctl restart clickhouse-server.service
Задание прав пользователя на создание баз данных и создание базы данных
1.Чтобы создать нового пользователя, откройте аккаунт стандартного пользователя:
sudo su - postgres
2.Наделите пользователя правами на создание новых баз данных, где вместо pass – установите пароль для пользователя postgres:
psql -c "ALTER USER postgres WITH CREATEDB LOGIN PASSWORD 'pass';"
3.Установите расширение, выполнив:
psql -c "CREATE EXTENSION pg_trgm;"
4.Создайте базы данных, выполнив:
createdb -O postgres komrad-preferences
createdb -O postgres pauth-preferences
createdb -O postgres scanner
exit
5.Запустите клиент ClickHouse, используя данные пользователя komrad, где вместо pass – укажите пароль, заданный при установке ClickHouse:
clickhouse-client --user=komrad --password=pass
6.Создайте базу данных, выполнив:
CREATE DATABASE komrad_events
exit
Установка модуль сканирования сети Nmap
Перейдите в папку с утилитами /osnova/tools и через терминал выполните команду:
sudo dpkg -i ./*.deb
Установка KOMRAD
Перейдите в папку с дистрибутивом /osnova/deb и через терминал выполните команду:
sudo dpkg -i ./*.deb
Редактирование yaml-файлов
1.Откройте файл komrad-processor.yaml, выполнив через команду в терминале:
sudo nano /etc/echelon/komrad/komrad-processor.yaml
Приведите фрагмент файла к данному виду:
# Настройки подключения к бд хранящей конфигурацию виджетов
widgetsdb:
TLSCertPath: /var/lib/echelon/komrad/certs/client.pem
TLSKeyPath: /var/lib/echelon/komrad/certs/client-key.pem
TLSRootCAPath: /var/lib/echelon/komrad/certs/ca.pem
db: komrad-preferences
host: localhost
password: pass # укажите пароль для пользователя postgres (PostgreSQL)
port: 5432
tlsmode: verify-full
user: postgres
# Настройки хранилища событий информационной безопасности
storage:
# Тип хранилища, в данной версии поддерживается только:
# - timescale - PostgreSQL 12+ с плагином TimescaleDB 2.2.1+
# - clickhouse - ClickHouse v21.7.8.58-stable
# Для ОС "Основа" поддерживается PostgreSQL 11 с TimescaleDB 2.2.1
kind: clickhouse
clickhouse:
# Название БД
name: komrad_events
user: komrad
password: pass # укажите пароль для пользователя komrad (ClickHouse)
# Адрес хоста с ClickHouse-server
host: localhost
# Порт ClickHouse-server
port: 9000
# Режим работы - с TLS или без
sslmode: disable
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
2.Откройте файл komrad-server.yaml, выполнив:
sudo nano /etc/echelon/komrad/komrad-server.yaml
Отредактируйте:
database:
pg:
db: komrad-preferences
host: localhost
password: pass # укажите пароль для пользователя postgres (PostgreSQL)
port: 5432
tlsmode: verify-full
user: postgres
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
3.Откройте файл komrad-correlation-dispatcher.yaml, выполнив:
sudo nano /etc/echelon/komrad/correlation-dispatcher.yaml
# Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode...
CorrelatorController:
# Настройка подключения к БД PostgreSQL в формате URL для корреляторов.
CorrelatorDB:postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode...
Где в pass – укажите пароль пользователя postgres (PostgreSQL).
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
4.Откройте файл komrad-incident-manager.yaml, выполнив:
sudo nano /etc/echelon/komrad/komrad-incident-manager.yaml
Отредактируйте:
# Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode...
Где в pass – укажите пароль пользователя postgres (PostgreSQL).
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
5.Откройте файл pauth-server.yaml выполнив:
sudo nano /etc/echelon/komrad/pauth-server.yaml
Отредактируйте:
database: postgres://postgres:pass@localhost:5432/pauth-preferences?sslmode...
Где в pass – укажите пароль пользователя postgres (PostgreSQL).
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
6.Откройте komrad-scanner-config.json, выполнив:
sudo nano /etc/echelon/komrad/komrad-scanner-config.json
Отредактируйте:
"Main": {
"Driver": "postgres",
"Host": "localhost",
"Port": 5432,
"DBName": "scanner",
"User": "postgres",
"Password": "pass",
"SSLMode": "disable"
}
Где в pass – укажите пароль пользователя postgres (PostgreSQL).
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
7.Откройте postgresql.conf, выполнив:
sudo nano /etc/postgresql/11/main/postgresql.conf
8.Раскомментируйте и добавьте пути до сертификатов:
ssl = on
ssl_ca_file = '/var/lib/echelon/komrad/certs/ca.pem'
ssl_key_file = '/var/lib/echelon/komrad/certs/server-key.pem'
ssl_cert_file = '/var/lib/echelon/komrad/certs/server.pem'
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
9.Перезагрузите сервисы, выполнив команду в одну строчку:
sudo systemctl restart postgresql komrad-server komrad-processor komrad-scanner pauth-server komrad-correlation-dispatcher komrad-incident-manager
Создание ролей администратора и пользователя с правами администратора
Создайте роль администратора и пользователя с правами администратора через команды в терминале.
Внимание! Каждая отдельная команда пишется одну строчку:
sudo pauthctl role add admin --migrate --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"
О успешном добавлении роли admin в строке сервиса будет строка:
INFO roles added {"role_names": ["admin"], "status": "success"}
Теперь роль пользователя:
sudo pauthctl role add user --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"
О успешном добавлении роли user в строке сервиса будет строка:
INFO roles added {"role_names": ["user"], "status": "success"}
Далее:
sudo pauthctl user add --email name@domain.com --login admin --roles admin --password admin --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"
Где:
pass – укажите пароль пользователя postgres (PostgreSQL);
e-mail name@domain.com – укажите свой e-mail адрес администратора;
login admin – укажите свой логин администратора;
password admin – укажите свой пароль администратора.
Перенос лицензии
1.Удалите демо-лицензию из папки /etc/echelon/komrad/license командой в терминале:
sudo rm /etc/echelon/komrad/license/license.lic
2.Скопируйте в папку /etc/echelon/komrad/license файл лицензии с расширением (.lic).
3.Перезапустите сервисы komrad-server, komrad-processor, pauth-server командой в терминале:
sudo systemctl restart komrad-server komrad-processor pauth-server
Создание сертификатов
Внимание! Дальнейшие действия желательно выполнять на отдельной ЭВМ, где в дальнейшем будут храниться корневые сертификаты, необходимые для корректной работы компонентов KOMRAD.
Создание сертификатов:
1.Создайте на жестком диске папку /tls:
mkdir tls
2.Перейдите в папку /tls и выполните команду в терминале для создания корневого сертификата:
cd tls
echelontls ca --organization “Echelon”
Где вместо Echelon укажите название своей организации.
В папке /tls сгенерируются два файла ca.pem и ca-key.pem.
3.Создайте серверный сертификат командой в терминале:
echelontls cert --organization “Echelon” localhost 127.0.0.1 $(hostname -I) $(hostname)
Где вместо Echelon укажите название своей организации.
В папке /tls сгенерируются два файла server.pem и server-key.pem
4.Создайте клиентский сертификат командой в терминале:
echelontls cert --client
В папке /tls сгенерируются два файла client.pem и client-key.pem
5.Создайте сертификат для браузера командой в терминале:
echelontls browser
Внимание! При генерации сертификата для браузера, утилита komradtls попросит задать пароль. Этот пароль потребуется при добавлении сертификата в браузер, поэтому запомните этот пароль.
В папке /tls сгенерируется файл client-browser.p12.
Удаление сертификатов по умолчанию
Удалите все сертификаты из папки с сертификатами по умолчанию командой в терминале:
sudo rm /var/lib/echelon/komrad/certs/CAs/*
sudo rm /var/lib/echelon/komrad/certs/*
Копирование сертификатов
Скопируйте сертификаты в следующие папки:
1.Файлы ca.pem, server.pem, server-key.pem, client.pem, client-key.pem в /var/lib/echelon/komrad/certs/ командой терминале:
sudo cp ca.pem server.pem server-key.pem client.pem client-key.pem /var/lib/echelon/komrad/certs/
Внимание! Команда выполняется в одну строчку.
2.Файл ca.pem в /var/lib/echelon/komrad/certs/CAs/ командой:
sudo cp ca.pem /var/lib/echelon/komrad/certs/CAs/
Изменение владельца файлов на komrad:komrad и предоставление прав сертификатам
Введите команды в терминале:
sudo chown komrad:komrad /etc/echelon/komrad/license/имя_лицензии.lic
sudo chown -R komrad:komrad /var/lib/echelon/komrad/certs
sudo chmod -R 755 /var/lib/echelon/komrad/certs
sudo chmod 0640 /var/lib/echelon/komrad/certs/server-key.pem
sudo chown root:komrad /var/lib/echelon/komrad/certs/server-key.pem
sudo usermod -a -G komrad postgres
sudo chmod 755 client-browser.p12
Где в имя_лицензии — укажите наименование файла лицензии.
Установка корневого сертификата в браузере
Выполните следующие действия:
1.Откройте Firefox → Настройки → Приватность и защита → Сертификаты → Просмотр сертификатов;
2.Перейдите во вкладку Ваши сертификаты меню Управления сертификатами;
3.Импортируйте сертификаты ca.pem в «Доверенные корневые центры сертификации»
4.Перезагрузите браузер.
Конец
KOMRAD установлен и доступен по адресу localhost.