КРОС:Рекомендации по эксплуатации сервера: различия между версиями

Материал из Юпитер-8
Нет описания правки
Строка 33: Строка 33:
<br clear="both" />
<br clear="both" />
[[#top|В начало статьи]]
[[#top|В начало статьи]]
=Дополнительные рекомендации=
=Дополнительные рекомендации по безопасности=
# Для исключения несанкционированного доступа к серверу КРОС, рекомендуется изменить '''все''' пароли, а так же задавать сложные пароли новым пользователям.
# Для исключения несанкционированного доступа к серверу КРОС, рекомендуется изменить '''все''' пароли, а так же задавать сложные пароли новым пользователям.
# Для исключения внешнего воздействия на комплекс можно использовать встроенный в ОС Astra [https://wiki.astralinux.ru/pages/viewpage.action?pageId=27362474 межсетевой экран]. В нем можно прописать конкретные IP адреса с которых разрешен доступ к серверу КРОС.
# Для исключения внешнего воздействия на комплекс можно использовать встроенный в ОС Astra [https://wiki.astralinux.ru/pages/viewpage.action?pageId=27362474 межсетевой экран]. В нем можно прописать конкретные IP адреса с которых разрешен доступ к серверу КРОС.
# Так же можно создать свою защищенную сеть на основе [https://wiki.astralinux.ru/display/doc/OpenVPN OpenVPN].
# Так же можно создать свою защищенную сеть на основе [https://wiki.astralinux.ru/display/doc/OpenVPN OpenVPN].
# В случае, если есть желание использовать SSL соединение, то в этом случае необходим сертификат jks ("java key storage"). По умолчанию файл с сертификатом располагается в '''/usr/local/smpo-server/conf/''' и называется '''''smpo-keystore.jks'''''. Его необходимо заменить на свой, так как данный ключ связан с доменом jupiter8.ru.
<br clear="both" />
<br clear="both" />
[[#top|В начало статьи]]
[[#top|В начало статьи]]

Версия от 15:45, 13 марта 2023



Основные рекомендации

  1. Выполнить диагностику и настройку локальной сети на предмет стабильности соединения между компьютерами:
    • Расписать общую топологию сети (количество роутеров, зависимости между ними, пароли доступа к роутерам)
    • Обновить роутеры до последних версий прошивок
    • Настроить доступность портов согласно инструкции по Настройке портов из справочного руководства.
  2. Проводить проверки жёсткого диска на предмет наличия ошибок чтения/записи, мониторинг “здоровья” жёсткого диска, следить за наличием битых секторов с помощью специализированных программ CrystalDiskInfo и Victoria HDD/SSD. Проверять жёсткие диски раз в месяц с занесением в журнал проверок.
  3. Своевременно делать резервные копии не только сервера КРОС, но и всей операционной системы в целом:
    • Резервные копии сервера КРОС, ключей лицензии и конфигурационных файлов делать раз в сутки
    • Резервные копии операционной системы делать минимум один раз в месяц.
    • Хранить резервные копии сервера КРОС на диске куда не установлена операционная система, чтобы в случае сбоя операционной системы не потерять все данные вместе с системой.
  4. Проверить компьютер с сервером КРОС на соответствие системным требованиям:
    • Процессор - 8 ядер
    • Оперативная память - 16 Гб
    • Жёсткий диск SSD 250Гб (операционная система, база данных PostgreSQL, КРОС)
    • Жёсткий диск HDD 1000Гб (логи сервера КРОС и бэкапы)
    • Пропускная способность от 5 Мбит/сек
  5. Оборудовать компьютер с сервером КРОС источником бесперебойного питания (при аварийных остановках операционной системы страдает в первую очередь жёсткий диск и база данных)
  6. Вести логирование действий с сервером для упрощения оказания технической поддержки в случае инцидентов:
    • Обновления операционной системы
    • Обновления сервера КРОС
    • Замена комплектующих компьютера
    • Логирование действий приведших к аварии
  7. Продумать систему резервного/подменного сервера на случай полного выхода из строя основного оборудования:
    • Запасной компьютер / запасные комплектующие для возможности быстрой замены вышедших из строя
    • Использовать систему зеркалирования данных, являющуюся частью сервера КРОС.
  8. Обеспечить сохранность логинов и паролей для доступа на сервер КРОС и в операционную систему. На ПЦО всегда должен присутствовать сотрудник, знающий пароли от операционной системы, сервера КРОС и роутеров. Хранить пароли в секретных конвертах в сейфе с возможностью доступа. Это необходимо для оказания оперативной помощи сотрудниками технической поддержки сервера КРОС.


Обязательно поменяйте все пароли. Новый пароль должен содержать прописные, заглавные буквы, числа и желательно спецсимволы, кроме двоеточия ":".

В начало статьи

Дополнительные рекомендации по безопасности

  1. Для исключения несанкционированного доступа к серверу КРОС, рекомендуется изменить все пароли, а так же задавать сложные пароли новым пользователям.
  2. Для исключения внешнего воздействия на комплекс можно использовать встроенный в ОС Astra межсетевой экран. В нем можно прописать конкретные IP адреса с которых разрешен доступ к серверу КРОС.
  3. Так же можно создать свою защищенную сеть на основе OpenVPN.
  4. В случае, если есть желание использовать SSL соединение, то в этом случае необходим сертификат jks ("java key storage"). По умолчанию файл с сертификатом располагается в /usr/local/smpo-server/conf/ и называется smpo-keystore.jks. Его необходимо заменить на свой, так как данный ключ связан с доменом jupiter8.ru.


В начало статьи