Filskiy (обсуждение | вклад) |
Filskiy (обсуждение | вклад) Нет описания правки |
||
| Строка 37: | Строка 37: | ||
<br><font style="color:RED;">Обязательно поменяйте все пароли. Новый пароль должен содержать прописные, заглавные буквы, числа и желательно спецсимволы, кроме двоеточия ":".</font><br> | <br><font style="color:RED;">Обязательно поменяйте все пароли. Новый пароль должен содержать прописные, заглавные буквы, числа и желательно спецсимволы, кроме двоеточия ":".</font><br> | ||
<br clear="both" /> | <br clear="both" /> | ||
[[#top|В начало статьи]] | [[КРОС:Рекомендации по эксплуатации сервера#top|В начало статьи]] | ||
=Рекомендации по безопасности= | =Рекомендации по безопасности= | ||
| Строка 45: | Строка 45: | ||
# Настроить SSL соединение. При настройке SSL соединения для доступа к серверу КРОС и Веб АРМ, необходимо сделать сертификат jks ("java key storage"). По умолчанию файл с сертификатом располагается в '''/usr/local/smpo-server/conf/''' и называется '''''smpo-keystore.jks'''''. Его необходимо заменить на свой, так как данный ключ связан с доменом jupiter8.ru. Параметры доступа к сертификату настраиваются пользователем ''superadmin'' в разделе '''Администрирование''' -> '''Безопасность''' -> вкладка '''"Сертификаты"'''. | # Настроить SSL соединение. При настройке SSL соединения для доступа к серверу КРОС и Веб АРМ, необходимо сделать сертификат jks ("java key storage"). По умолчанию файл с сертификатом располагается в '''/usr/local/smpo-server/conf/''' и называется '''''smpo-keystore.jks'''''. Его необходимо заменить на свой, так как данный ключ связан с доменом jupiter8.ru. Параметры доступа к сертификату настраиваются пользователем ''superadmin'' в разделе '''Администрирование''' -> '''Безопасность''' -> вкладка '''"Сертификаты"'''. | ||
<br clear="both" /> | <br clear="both" /> | ||
[[#top|В начало статьи]] | [[КРОС:Рекомендации по эксплуатации сервера#top|В начало статьи]] | ||
= Рекомендации по последовательности действий в случае отсутствия доступа к серверу КРОС = | |||
В случае если данные рекомендации вызывают затруднение в понимании или выполнении просьба связаться с технической поддержкой тел. 8-800-250-87-27 доб. 8 | |||
1. Необходимо убедится, что сервер КРОС включен. Проверить подключено ли питание (~220V) и запущена ли операционная система. | |||
2. Проверить доступ к компьютеру КРОС из локальной сети, используя команды: | |||
ping, telnet, traceroute и т.п. В случае отсутствия отклика проверить состояние локальной | |||
сети, её конфигурацию и маршрутизацию. | |||
3. Проверить, работает ли программное обеспечение. | |||
Для проверки можно воспользоваться любым менеджером задач, а так же в терминале или консоли, для проверки можно ввести команды: | |||
- для PostgreSQL — '''sudo ps aux|grep postgres''' | |||
Отклик должен содержать все процессы работы PostgreSQL, в том числе и информацию о подключении к базам данных. | |||
- для КРОС — '''sudo ps aux|grep smpo-server''' | |||
Отклик отображает информацию о процессах КРОС — wrapper и smpo-server | |||
3.1. Выполнить перезагрузку программного обеспечения: | |||
'''sudo systemctl restart postgresql''' | |||
'''sudo service smpo-server restart''' | |||
4. В случае отсутствия какой-либо информации о процессах, либо в случае отсутствия информации о подключении к базе данных КРОС рекомендуется выполнить следующие действия: | |||
- выполнить команду остановки процесса КРОС: '''sudo service smpo-server stop''' | |||
- проверить корректность выполнения операции командой: '''sudo ps aux|grep smpo-server''' | |||
Если процессы продолжают выполняться, необходимо прервать их командой: '''kill'''. | |||
- проверить наличие файлов '''pid''' и '''smpo.active''' в каталоге '''/usr/local/smpo-server/conf''' и удалить их, если они присутствуют. | |||
4.1. Перезагрузить службу управления PostgreSQL — '''sudo systemctl restart postgresql''' | |||
Проверить запуск. В случае отсутствия работающих процессов, необходимо изучить файлы логирования и исключить ошибки запуска. | |||
4.1.1 Если проблема в некорректной информации базы данных КРОС, тогда можно выполнить следующие действия: | |||
- остановить службу smpo-server | |||
- остановить PostgreSQL | |||
- пересоздать кластер — в том случае если после восстановления PostgreSQL все равно не загрузился | |||
- запустить PostgreSQL | |||
- создать пустую базу данных КРОС | |||
- запустить smpo-server | |||
- восстановить базу данных из резервной копии | |||
- проверить восстановленные данные | |||
Если после этого комплекс не загрузился — связаться со службой технической поддержки для консультации и предоставить удаленный доступ для выявления ошибок. | |||
5. При наличии резервного сервера, когда основной сервер вышел из строя. | |||
- необходимо проверить его включение и доступность в локальной сети | |||
- перенести резервную копию базы данных и восстановить её на сервере. В случае использования механизма зеркалирования восстановление данных скорее всего не потребуется | |||
- при необходимости изменить сетевые настройки сервера и активировать их | |||
- проверить работу комплекса. В протоколе событий приборов должна появиться информация | |||
[[КРОС:Рекомендации по эксплуатации сервера#top|В начало статьи]] | |||
---- | ---- | ||
<div style="float: left; text-align: left; padding-right: 10px;">[[000001020|Предыдущая глава]]</div> | <div style="float: left; text-align: left; padding-right: 10px;">[[000001020|Предыдущая глава]]</div> | ||
Версия от 15:16, 25 сентября 2023
Основные рекомендации
- Выполнить диагностику и настройку локальной сети на предмет стабильности соединения между компьютерами:
- Расписать общую топологию сети (количество роутеров, зависимости между ними, пароли доступа к роутерам)
- Обновить роутеры до последних версий прошивок
- Настроить доступность портов согласно инструкции по Настройке портов из справочного руководства.
- Проводить проверки жёсткого диска на предмет наличия ошибок чтения/записи, мониторинг “здоровья” жёсткого диска, следить за наличием битых секторов с помощью специализированных программ CrystalDiskInfo и Victoria HDD/SSD. Проверять жёсткие диски раз в месяц с занесением в журнал проверок.
- Своевременно делать резервные копии не только сервера КРОС, но и всей операционной системы в целом:
- Резервные копии сервера КРОС, ключей лицензии и конфигурационных файлов делать раз в сутки
- Резервные копии операционной системы делать минимум один раз в месяц.
- Хранить резервные копии сервера КРОС на диске куда не установлена операционная система, чтобы в случае сбоя операционной системы не потерять все данные вместе с системой.
- Проверить компьютер с сервером КРОС на соответствие системным требованиям:
- Процессор - 8 ядер
- Оперативная память - 16 Гб
- Жёсткий диск SSD 250Гб (операционная система, база данных PostgreSQL, КРОС)
- Жёсткий диск HDD 1000Гб (логи сервера КРОС и бэкапы)
- Пропускная способность от 5 Мбит/сек
- Оборудовать компьютер с сервером КРОС источником бесперебойного питания (при аварийных остановках операционной системы страдает в первую очередь жёсткий диск и база данных)
- Вести логирование действий с сервером для упрощения оказания технической поддержки в случае инцидентов:
- Обновления операционной системы
- Обновления сервера КРОС
- Замена комплектующих компьютера
- Логирование действий приведших к аварии
- Продумать систему резервного/подменного сервера на случай полного выхода из строя основного оборудования:
- Запасной компьютер / запасные комплектующие для возможности быстрой замены вышедших из строя
- Использовать систему зеркалирования данных, являющуюся частью сервера КРОС.
- Обеспечить сохранность логинов и паролей для доступа на сервер КРОС и в операционную систему. На ПЦО всегда должен присутствовать сотрудник, знающий пароли от операционной системы, сервера КРОС и роутеров. Хранить пароли в секретных конвертах в сейфе с возможностью доступа. Это необходимо для оказания оперативной помощи сотрудниками технической поддержки сервера КРОС.
- При настройке сетевых подключений протокола IPv4 используйте метод "Вручную", проверьте корректность введенных данных, таких как IP адрес, маска сети, шлюз, DNS сервер.
- Проверить Список приборов поддерживающих функционал удаленного конфигурирования и обновления ПО.
Обязательно поменяйте все пароли. Новый пароль должен содержать прописные, заглавные буквы, числа и желательно спецсимволы, кроме двоеточия ":".
В начало статьи
Рекомендации по безопасности
- Для исключения несанкционированного доступа к серверу КРОС, необходимо, в обязательном порядке, изменить все пароли, а так же задавать сложные пароли новым пользователям.
- Для исключения внешнего воздействия на комплекс можно использовать встроенный в ОС Astra межсетевой экран. В нем можно прописать конкретные IP адреса с которых разрешен доступ к серверу КРОС. Для настройки правил в графическом режиме можно воспользоваться утилитой gufw. Для ОС Windows можно использовать встроенный Брэндмауер.
- Для безопасного доступа из внешней сети рекомендуется создать свою защищенную сеть на основе OpenVPN для ОС Astra или для Windows.
- Настроить SSL соединение. При настройке SSL соединения для доступа к серверу КРОС и Веб АРМ, необходимо сделать сертификат jks ("java key storage"). По умолчанию файл с сертификатом располагается в /usr/local/smpo-server/conf/ и называется smpo-keystore.jks. Его необходимо заменить на свой, так как данный ключ связан с доменом jupiter8.ru. Параметры доступа к сертификату настраиваются пользователем superadmin в разделе Администрирование -> Безопасность -> вкладка "Сертификаты".
Рекомендации по последовательности действий в случае отсутствия доступа к серверу КРОС
В случае если данные рекомендации вызывают затруднение в понимании или выполнении просьба связаться с технической поддержкой тел. 8-800-250-87-27 доб. 8
1. Необходимо убедится, что сервер КРОС включен. Проверить подключено ли питание (~220V) и запущена ли операционная система.
2. Проверить доступ к компьютеру КРОС из локальной сети, используя команды:
ping, telnet, traceroute и т.п. В случае отсутствия отклика проверить состояние локальной
сети, её конфигурацию и маршрутизацию.
3. Проверить, работает ли программное обеспечение.
Для проверки можно воспользоваться любым менеджером задач, а так же в терминале или консоли, для проверки можно ввести команды:
- для PostgreSQL — sudo ps aux|grep postgres
Отклик должен содержать все процессы работы PostgreSQL, в том числе и информацию о подключении к базам данных.
- для КРОС — sudo ps aux|grep smpo-server
Отклик отображает информацию о процессах КРОС — wrapper и smpo-server
3.1. Выполнить перезагрузку программного обеспечения:
sudo systemctl restart postgresql
sudo service smpo-server restart
4. В случае отсутствия какой-либо информации о процессах, либо в случае отсутствия информации о подключении к базе данных КРОС рекомендуется выполнить следующие действия:
- выполнить команду остановки процесса КРОС: sudo service smpo-server stop
- проверить корректность выполнения операции командой: sudo ps aux|grep smpo-server
Если процессы продолжают выполняться, необходимо прервать их командой: kill.
- проверить наличие файлов pid и smpo.active в каталоге /usr/local/smpo-server/conf и удалить их, если они присутствуют.
4.1. Перезагрузить службу управления PostgreSQL — sudo systemctl restart postgresql
Проверить запуск. В случае отсутствия работающих процессов, необходимо изучить файлы логирования и исключить ошибки запуска.
4.1.1 Если проблема в некорректной информации базы данных КРОС, тогда можно выполнить следующие действия:
- остановить службу smpo-server
- остановить PostgreSQL
- пересоздать кластер — в том случае если после восстановления PostgreSQL все равно не загрузился
- запустить PostgreSQL
- создать пустую базу данных КРОС
- запустить smpo-server
- восстановить базу данных из резервной копии
- проверить восстановленные данные
Если после этого комплекс не загрузился — связаться со службой технической поддержки для консультации и предоставить удаленный доступ для выявления ошибок.
5. При наличии резервного сервера, когда основной сервер вышел из строя.
- необходимо проверить его включение и доступность в локальной сети
- перенести резервную копию базы данных и восстановить её на сервере. В случае использования механизма зеркалирования восстановление данных скорее всего не потребуется
- при необходимости изменить сетевые настройки сервера и активировать их
- проверить работу комплекса. В протоколе событий приборов должна появиться информация
