/
Instalační příručka

Instalační příručka

Obsah

 

Požadavky pro instalaci

Podporované operační systémy

  • RHEL 7/CentOS 7

  • RHEL 8/CentOS 8 Stream/Rocky Linux 8

  • RHEL 9/CentOS 9 Stream/Rocky Linux 9

Je podporována pouze nová instalace operačního systému bez dalších aplikací. Při nasazení s AWS Marketplace je doporučená verze systému již před-připravena.

Systémové prostředky

Minimální

  • 1 CPU

  • 2 GiB RAM

  • 1 GiB HDD pro aplikaci + místo pro soubory odesílané přes aplikaci

Doporučené

  • 2 CPU

  • 4 GiB RAM

  • 1 GiB HDD pro aplikaci + místo pro soubory odesílané přes aplikaci

Upřesnění

Jedná se o požadavky samotné aplikace SOFiE v průměrné instalaci do 100 uživatelů. Pro větší instalace doporučujeme hodnoty navýšit na dvojnásobek.

Další instalované komponenty mohou mít další nároky (např. pro ClamAV doporučujeme + další 1 GiB RAM a 1 CPU).

Výchozí porty pro komunikaci

  • Příchozí:

    • http (80/tcp) - pro Let’s Encrypt certifikáty

    • https (443/tcp) - pro hlavní webové rozhraní aplikace

  • Odchozí:

    • smtp (25/tcp) - pro odesílání e-mailů, může být omezeno na adresu smtp relay serveru

    • http (80/tcp), https (443/tcp) - pro stahování aktualizací a licence

    • ldap (389/tcp, 636/tcp) - pro integraci s Active Directory, může být omezeno na adresu AD serveru

    • diagnostika (2222/tcp) - pro vzdálenou diagnostiku, může být omezeno na adresu recon.sonpo.io

Instalace a provoz aplikace za SSL inspekcí (volitelné)

Nakopírovat certifikát autority z inspekce, např. CA.crt, do /etc/pki/ca-trust/source/anchors a spustit:

update-ca-trust extract

Instalace aplikace

  • Při nasazení z AWS Marketplace tuto kapitolu přeskočit a pokračovat níže, viz První spuštění.

  • Nainstalujeme potřebné balíčky:

RHEL/CentOS 7 (zastaralé):

yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm yum install -y curl tar ansible libsemanage-python policycoreutils-python

RHEL/CentOS/Rocky 8:

dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm dnf install -y curl tar ansible python3-libsemanage python3-policycoreutils

RHEL/CentOS/Rocky 9 (doporučené):

  • Stáhneme a spustíme instalační skript:

  • V instalátoru je možné vyplnit tyto parametry:

  • Po spuštění instalace volbou 4 se nainstalují potřebné balíčky, vytvoří a spustí se služby aplikace. Až služby nastartují bude aplikace dostupná ve dvou částech uživatelské a administrátorské. Pokud jste zvolili instalaci bez Let's Encrypt certifikátu, je třeba ještě nastavit použití jiného certifikátu viz. sekce Základní nastavení, jinak nebude aplikace dostupná, neboť má ve výchozím stavu aktivní HSTS a povoluje tak přístup pouze po https s platným certifikátem.

Externí PostgreSQL databáze (volitelné)

Instalační skript automaticky instaluje a konfiguruje místní instanci PostgreSQL která je vyhrazená pro aplikaci SOFiE a přístupná pouze z místního hostitele (localhost).

Externí instance PostgreSQL může být použita za splnění následujících podmínek:

  • PostgreSQL ve verzi 11 - 16

  • ručně vytvořená databáze a uživatel pro aplikaci SOFiE (vytvoření externí databáze a uživatele není instalačním skriptem podporováno)

  • v SOFiE databázi je nainstalováno rozšíření pgcrypto

  • databázový uživatel je vlastníkem SOFiE databáze

Vlastnosti připojení musí být nastaveny ručně ve dvou souborech:

  • /etc/sofie/production.properties (pro databázové migrace - v sekci “JDBC connection properties”)

  • /etc/sofie/META-INF/microprofile-config.properties (pro aplikaci SOFiE - v sekci “JDBC configuration”)

Syntaxe JDBC URL včetně všech dostupných parametrů je popsána na adrese:

https://jdbc.postgresql.org/documentation/use/#connecting-to-the-database

Omezení přístupu na admin rozhraní (volitelné)

Volitelně je od verze 2.4 možné omezit přístup na admin rozhraní (/admin) nikoliv jen aplikačně, ale již na úrovni webového serveru nginx. Provést lze úpravou konfiguračního souboru “/etc/nginx/sofie.d/http_admin-restriction.conf”:

První spuštění

Spuštění proběhne automaticky po instalaci aplikace. Při nasazení z AWS Marketplace je aplikace již před-instalovaná a ke spuštění dojde rovnou po nasazení. Po spuštění je k dispozici uživatelské a administrátorské rozhraní pomocí webového prohlížeče na adresách:

Uživatelská část

https://<FQDN>

Administrátorská část

https://<FQDN>/admin

Aby se administrátor mohl úspěšně přihlásit do webového rozhraní, měl by po spuštění pokračovat základním nastavením jak je popsáno níže, včetně nastavení hesla administrátora.

Základní nastavení

  • Následující kroky je třeba provést v příkazové řádce spuštěného serveru aplikace.

  • Pro přístup do webového rozhraní je třeba mít funkční https certifikát. Pokud funkční není, nebo nasazujeme z AWS Marketplace, musíme spustit příkazy:

  • (volitelně) Instalace vlastního certifikátu je možná přepsáním souborů vygenerovaného self-signed certifikátu. Soubor certifikátu nahrajeme do “/etc/nginx/cert/certificate.crt” a soubor privátního klíče do “/etc/nginx/cert/private.key”:

    Potom restartujeme nginx.

  • (do verze 2.2.7 včetně) Výchozí administrátorský účet je “admin” s heslem “sofieadmin”. Toto heslo doporučujeme po prvním přihlášení změnit (Nastavení/Administrátoři). Administrátor se musí přihlašovat do administrátorské části (/admin), nikoli do uživatelské.

  • (od verze 2.2.8 včetně + AWS) Výchozí administrátorský účet je “admin” s náhodně vygenerovaným heslem. Administrátor se musí přihlašovat do administrátorské části (/admin), nikoli do uživatelské. Heslo je před prvním přihlášením třeba resetovat na nové náhodné, které se jednorázově zobrazí v konzoli, pomocí příkazu:

  • Aby aplikace správně pracovala, je ještě třeba nastavit mail server. To již provedeme v Nastavení/Konfigurace/E-mail ve webovém administrátorském rozhraní.

  • Pro informace o tom jak aplikaci správně provozovat a o dalším nastavení by se měl administrátor seznámit s Příručka administrátora.

Update aplikace

Je třeba postupovat dle návodu zde: Pokyny k přechodu na novou verzi (Upgrade notes)

Instalace CDR modulu (volitelné)

Od verze 2.3 podporuje aplikace SOFiE volitelný interní modul “Content Disarm and Reconstruction (CDR)“. Modul umožňuje konverzi podporovaných typů souborů (typicky dokumenty Office) do bezpečného formátu, konkrétně PDF bez aktivního obsahu. Aby bylo možné modul využívat, je třeba provést následné instalační kroky:

Po instalaci může administrátor CDR modul aktivovat a nastavit ve webovém rozhraní, v sekci Nastavení - Nastavení detekce.

Instalace antivirových enginů (volitelné)

  • Konfigurace cest k antivirům se nachází v “/etc/sofie/META-INF/microprofile-config.properties” sekce “# AV”

Avast

  • Importujeme Avast GPG klíč

  • Nainstalujeme balíčky Avastu

  • Stáhneme licenční soubor

  • Zkopírujeme licenční soubor do /etc/avast/license.avastlic

  • Upravíme konfiguraci dle potřeby v /etc/avast/*

  • Spustíme službu antiviru

BitDefender

  • Package stáhneme jako “Kit (Intel, AMD x86 64-bit)”

  • Rozbalíme a spustíme instalaci:

  • Spustíme zkušební sken souboru:

  • V GravityZone portálu/Policies vytvoříme pro server policy:

  • Vytvořenou policy přiřadíme v GravityZone portálu/Network k serveru.

ClamAV

  • Provedeme instalaci ClamAVu z epel repozitáře:

  • Je třeba upravit nastavení “/etc/clamd.d/scan.conf” :

  • Upravíme systemd soubor:

  • Spustíme službu :

ESET

  • Stáhneme soubor s nastavením zde, a importujeme:

FortiClient

  • Instalace předpokládá již nainstalovaný FortiClient Endpoint Management Server (FortiClient EMS). Jeho instalace není součástí tohoto návodu.

  • Z Fortinet portálu stáhneme aktuální verzi 7.x FortiClienta. Stahujeme headless verzi pro linux např.: forticlient_server_7.4.1.1697_x86_64.rpm

  • Nainstalujeme:

  • Registrujeme FortiClient k EMS:

  • Zkontrolujeme registraci a licenci:

  • V Forticlient EMS provedeme tyto nastavení:

    • “Endpoints/Workgroups” vytvoříme skupinu pro registrovaný server.

    • “Endpoints/Group Assignment Rules” přiřadíme registrovaný server do vytvořené skupiny.

    • “Endpoint Profiles/Manage Profiles” vytvoříme profil s nastavením pro server. Profil by měl obsahovat následující nastavení: