Перейти к основному содержимому
Версия: 7.x

Конфигурация системных параметров

Большинство настроек «Сканер-ВС» доступны через веб-интерфейс. Однако некоторые системные параметры для тонкой настройки, интеграции и оптимизации производительности задаются в конфигурационном файле scanner.yml на сервере.

Внимание

Изменение этого файла требует прав администратора и понимания их назначения. Некорректные изменения могут нарушить работу системы. Перед редактированием рекомендуется создавать резервные копии.

Основной конфигурационный файл

  • **Расположение:*- /var/lib/echelon/0/scanner/scanner.yml (для установки по умолчанию).

  • **Применение изменений:*- После внесения изменений в файл необходимо перезапустить службу сканера:

    sudo systemctl restart scanner

Общие настройки и базы данных

  • license: Указывает путь к файлу лицензии.

    license: license.lic

  • logger: Настройки локального вывода логов в консоль (stdout). Полезно для отладки.

    logger:
      - sink: stdout
        format: color
        levels: [info, warn, error]

  • databases: Определяет пути к файлам баз данных, используемых системой.

    • scannerdb: Основная база данных (активы, задачи, результаты).
    • vulndb: База данных уязвимостей, которая обновляется из внешних источников.
    • customvulndb: База данных пользовательских уязвимостей.
    • wal-version: Версия механизма Write-Ahead Logging для SQLite. wal2 является улучшенной версией, позволяющей больше параллелизма.

Настройки веб-сервера (секция http)

Этот блок отвечает за параметры доступа к веб-интерфейсу «Сканер-ВС».

  • url: Адрес и порт, на котором будет запущен веб-сервер. Значение 0.0.0.0 означает, что сервер будет доступен по всем сетевым интерфейсам машины.
  • ttl: Время жизни сессии пользователя (например, 24h0m0s).
  • cookiesecure: Если true, cookie сессии будут передаваться только по HTTPS.
  • cors: Настройки Cross-Origin Resource Sharing. Управляют, с каких веб-адресов разрешено обращаться к интерфейсу сканера.
  • tls (Управление сертификатами): Позволяет заменить стандартные TLS-сертификаты на собственные для защиты веб-интерфейса.
    • disable: false для включения HTTPS.
    • serverName: Имя сервера, используемое в сертификате.
    • trustedCa, cert, certKey: Пути к файлам корневого сертификата, сертификата сервера и его ключа.
    • minVersion: Минимальная поддерживаемая версия TLS (например, "1.3").
    • clientAuth: Если true, включает взаимную аутентификацию (mTLS), требуя сертификат от клиента.

Настройки служб и интеграций

  • connection-policy: Параметры переподключения между внутренними сервисами «Сканер-ВС».

    • attempts: Количество попыток.
    • duration: Таймаут ожидания.

  • services.pauth-server (Служба аутентификации):

    • database: Путь к базе данных пользователей.
    • session-ttl: Время жизни сессии.
    • default-role: Роль, назначаемая новым пользователям по умолчанию (user).
    • min-password-entropy-bits: Минимальная энтропия пароля в битах. Увеличивает требования к сложности паролей.

    Интеграция с LDAP / Active Directory

    Для настройки авторизации доменных пользователей необходимо добавить блок auth-providers в секцию pauth-server.

    Важное требование к учетным записям LDAP

    Для успешного входа через LDAP обязательно, чтобы у пользователя в каталоге LDAP (например, в Active Directory) было заполнено поле email. «Сканер-ВС» требует обязательного наличия электронной почты при создании внутренней учетной записи. Если почта у пользователя в LDAP не указана, попытка авторизации завершится ошибкой!

    Пример конфигурации LDAP:

    pauth-server:
      # ... основные настройки (database, session-ttl и т.д.)
      auth-providers:
        - kind: internal
          priority: 10
          enabled: true
        - kind: ldap
          priority: 20
          enabled: true
          ldap:
            url: ldap://company.lan:389
            search-dn: ldapreader@company.lan
            search-password: ...
            base-dn: dc=company,dc=lan
            uid: sAMAccountName
            scope: 2
            connection-timeout: 30
            tls:
              enabled: false
            group-conf:
              filter: objectclass=Group
              membership-attribute: memberof
            group-roles:
              - group-to-org-role:
                  group-dn: cn=dep_it,cn=Groups,dc=company,dc=lan
                  org-role: admin

    Описание параметров LDAP:

    • ldap: Секция параметров подключения к LDAP-серверу.
      • url: URL для подключения к LDAP-серверу.
      • search-dn: Полный DN (Distinguished Name) служебной учетной записи, которая будет использоваться для поиска пользователей.
      • search-password: Пароль служебной учетной записи.
      • base-dn: Базовый DN, с которого начинается поиск пользователей и групп.
      • uid: Атрибут, используемый для уникальной идентификации логина пользователя (например, sAMAccountName для AD).
      • scope: Уровень охвата поиска (0 — только на уровне base-dn, 1 — на один уровень ниже, 2 — рекурсивный поиск по всем уровням).
      • connection-timeout: Время ожидания подключения к LDAP-серверу в секундах.
    • tls: Настройки шифрования соединения.
      • enabled: Включение (true) или отключение (false) использования TLS.
    • group-conf: Настройки для работы с группами LDAP.
      • filter: Фильтр для определения LDAP-групп (например, objectclass=Group).
      • membership-attribute: Атрибут, указывающий на членство пользователя в группе (например, memberof).
    • group-roles: Правила назначения ролей сканера на основе LDAP-групп.
      • group-to-org-role: Блок маппинга группы на роль.
        • group-dn: Полный DN группы в LDAP.
        • org-role: Внутренняя роль в «Сканер-ВС» (например, admin или user), которая будет назначена членам этой группы.

  • services.update-service (Служба обновлений):

    • max-update-memory-mi-byte: Максимальный объем оперативной памяти (в МБ), используемый для обработки обновлений.
    • connector.url: Адрес сервера обновлений.
    • schedule: Настройка автоматического обновления по расписанию в формате Cron (например, "0 4 * * *" для запуска каждый день в 04:00).
    • proxy: Настройки для доступа в интернет через прокси-сервер.

  • syslogger: Позволяет отправлять логи событий в SIEM-системы. Для включения раскомментируйте секцию и укажите адрес вашего syslog-сервера.

  • kerberos:

    • path: Указывает путь к директории с конфигурационными файлами Kerberos (krb5.conf) для аутентификации в доменных средах.

Настройки задач по умолчанию

  • Аудит конфигурации (audit-params):

    • local-sessions-per-account: Максимальное количество одновременных локальных сессий аудита на один актив.
    • remote-sessions-per-account: Максимальное количество одновременных удаленных сессий аудита на один актив.
    • target-locale: Языковая локаль, используемая при выполнении команд на целевых системах.

  • Подбор паролей (crack-params):

    • time-per-login: Время ожидания (в секундах) на одну попытку входа.
    • disable-redo-on-failed-attempts: Если true, неудачные попытки не будут повторяться.

Настройки производительности

  • Повторные попытки выполнения команд (exec-retry): Определяет поведение сканера при выполнении команд на удалённых узлах (например, в задаче «Инвентаризация»), если возникают сбои.

    • initial-interval: Начальный интервал ожидания перед повторной попыткой.
    • max-interval: Максимальный интервал ожидания.
    • max-retry: Максимальное количество повторных попыток.
    • max-exec-time: Максимальное время ожидания выполнения одной команды.

  • Управление параллелизмом (parallelism): Отвечает за количество одновременно выполняемых задач, что напрямую влияет на скорость сканирования и нагрузку на сервер.

    • Простой режим (coeff): Задает коэффициент, который умножается на количество ядер процессора для определения общего числа параллельных задач.
    • Адаптивный режим (adaptive-concurrency): Динамически регулирует параллелизм, чтобы поддерживать нагрузку на CPU и RAM в заданных пределах.
      • enabled: true: Включает адаптивный режим.
      • min-cpu-threshold / max-cpu-threshold: Целевой диапазон загрузки CPU (в процентах).
      • max-ram-threshold: Максимальный порог использования RAM (в процентах).

Расширенные настройки

  • Расчет влияния уязвимостей (vulns-impact-score): Эта секция позволяет настроить формулу для расчета показателя влияния уязвимостей на информационную систему.

    • weights: Весовые коэффициенты для каждого компонента формулы (K, L, P).
    • scores: Оценки для различных типов активов (k-score), уровней распространенности уязвимостей (l-score) и сетевой доступности (p-score).

  • Прочие настройки (tuning):

    • usb-since-flag: Определяет, за какой период времени собирать информацию о подключавшихся USB-устройствах в задаче «Инвентаризация» (например, "1 day ago", "30 day ago").
Последнее обновление