Необходимо настроить Мой Офис ССР (SDK) 3.1 Standalone на Astra Linux Воронеж 1.7.6.
Есть инструкция надо по ней настроить сервер Мой Офис.
.1 Развернуть серверы со следующими именами:
Имя сервера IP-адрес
doctrix-myoffice-operator01 172.25.109.16
doctrix-cosa 172.25.109.65
Сервер doctrix-myoffice-operator01 – используется для управления процессом установки и хра-нит конфигурационные файлы.
Сервер doctrix-cosa – используется для установки редакторов и дополнительного ПО и является сервером, на котором функционируют все docker-контейнеры и сервисы, выполняет роль ос-новного сервера.
После успешной установки и конфигурации сервера doctrix-cosa (то есть после применения всех настроек), сервер c ролью operator можно отключить.
0.2 Для каждого сервера выполнить настройки:
Получить привилегии суперпользователя
sudo su
Создать пароль для пользователя root
sudo passwd root
Выставить значение параметра PermitRootLogin yes
nano /etc/ssh/sshd_config
Перезагрузить ВМ/Сервер
0.3 Добавить репозитории на машину с ролью cosa
Отключить внешние репозитории, запустив команду:
sed -i "s/^/#/" /etc/apt/sources.list
Добавить репозитории, запустив команду:
cat <<EOF >> /etc/apt/sources.list
deb
1.7_x86-64 main non-free contrib
deb
1.7_x86-64 main non-free contrib
EOF
Поскольку сервер с ролью operator был развёрнут на Astra Linux Воронеж 1.7.5, добавля-ем такие репозитории:
Отключить внешние репозитории, запустив команду:
sed -i "s/^/#/" /etc/apt/sources.list
Добавить репозитории, запустив команду:
cat <<EOF >> /etc/apt/sources.list
deb
1.7_x86-64 main non-free contrib
deb
1.7_x86-64 main non-free contrib
EOF
0.4 Смонтировать скачанный дистрибутив (запрошенный заранее у вендора) на машину c ролью operator и скопировать его содержимое в каталог root
mount /home/y******/myoffice-ces-3.1.iso /mnt/iso
cd /mnt/iso
cp /mnt/iso *.run /root
1.1 Настройка уровня защищенности Воронеж
1. Пользователь должен быть в группе astra-admin
2. Настроить беспарольный sudo
sudo visudo
В последней строке проставить группе astra-admin
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL
3. Установка осуществляется с помощью Ansible от имени пользователя, для
которого должна быть настроена возможность выполнять sudo без пароля.
4. Пользователю astra необходимо установить максимальный уровень целостности 63
(соответствует администратору ОС). Проверить уровень целостности пользователя
возможно с помощью команды:
root@voronezh:~# pdp-id -i
63
5. Установка Ansible и работа ССР (версии 3.1) невозможна при включенном
запрете бита исполнения. Перед началом установки на всех серверах необходимо
выполнить команду:
аstra@voronezh:~$ sudo astra-nochmodx-lock disable
astra@voronezh:~$ sudo astra-nochmodx-lock status
INACTIVE
6. Установка Ansible и работа ССР (версии 3.1) невозможна при включенном режиме
замкнутой программной среды. Необходимо проверить статус режима с помощью
команды:
astra@voronezh:~$ sudo astra-digsig-control status
INACTIVE
7. При статусе ACTIVE перед началом установки на всех серверах необходимо
выполнить команду:
astra@voronezh:~$ sudo astra-digsig-control disable
astra@voronezh:~$ sudo reboot
astra@voronezh:~$ sudo astra-digsig-control status
INACTIVE
8. Необходи-мо проверить статусы параметров безопасности, значения которых должны соответствовать таблице 1.
Таблица 1 — Параметры безопасности по умолчанию
Наименование команды Статуc
astra-bash-lock status INACTIVE
astra-commands-lock status INACTIVE
astra-docker-isolation status INACTIVE
astra-hardened-control status INACTIVE
astra-interpreters-lock status ACTIVE
astra-lkrg-control status INACTIVE
astra-macros-lock status INACTIVE
astra-modban-lock status INACTIVE
astra-overlay status INACTIVE
astra-ptrace-lock status ACTIVE
astra-sumac-lock status INACTIVE
astra-shutdown-lock status INACTIVE
astra-ufw-control status INACTIVE
astra-ulimits-control status INACTIVE
9. Проверить изменения
10. Проверить доступность репозиториев:
apt-get update
1.2 Установка подсистемы управления конфигурациями
11. На сервере с ролью operator перейти в каталог root и запустить скрипт установки:
bash co_ansible_bin_3.1-ces.run
Есть более подробная инструкция.