Instalační příručka
- Petr Novák
- Michal Malůšek
- Pavel Novák
- Pavel Arnošt
Obsah
- 1 Obsah
- 2 Požadavky pro instalaci
- 3 Instalace aplikace
- 4 První spuštění
- 5 Základní nastavení
- 6 Update aplikace
- 7 Instalace CDR modulu (volitelné)
- 8 Instalace antivirových enginů (volitelné)
- 8.1 Avast
- 8.2 BitDefender
- 8.3 ClamAV
- 8.4 ESET
- 8.5 FortiClient
- 8.6 Kaspersky
- 8.7 Sophos
- 8.8 Trellix
- 9 Vlastní SSL CA (volitelné)
- 10 Diagnostika při nedostatku paměti
Požadavky pro instalaci
Podporované operační systémy
RHEL 7/CentOS 7
RHEL 8/CentOS 8 Stream/Rocky Linux 8
RHEL 9/CentOS 9 Stream/Rocky Linux 9
Je podporována pouze nová instalace operačního systému bez dalších aplikací. Při nasazení s AWS Marketplace je doporučená verze systému již před-připravena.
Systémové prostředky
Minimální
1 CPU
2 GiB RAM
1 GiB HDD pro aplikaci + místo pro soubory odesílané přes aplikaci
Doporučené
2 CPU
4 GiB RAM
1 GiB HDD pro aplikaci + místo pro soubory odesílané přes aplikaci
Upřesnění
Jedná se o požadavky samotné aplikace SOFiE v průměrné instalaci do 100 uživatelů. Pro větší instalace doporučujeme hodnoty navýšit na dvojnásobek.
Další instalované komponenty mohou mít další nároky (např. pro ClamAV doporučujeme + další 1 GiB RAM a 1 CPU).
Výchozí porty pro komunikaci
Příchozí:
http (80/tcp) - pro Let’s Encrypt certifikáty
https (443/tcp) - pro hlavní webové rozhraní aplikace
Odchozí:
smtp (25/tcp) - pro odesílání e-mailů, může být omezeno na adresu smtp relay serveru
http (80/tcp), https (443/tcp) - pro stahování aktualizací a licence
ldap (389/tcp, 636/tcp) - pro integraci s Active Directory, může být omezeno na adresu AD serveru
diagnostika (2222/tcp) - pro vzdálenou diagnostiku, může být omezeno na adresu recon.sonpo.io
Instalace a provoz aplikace za SSL inspekcí (volitelné)
Nakopírovat certifikát autority z inspekce, např. CA.crt, do /etc/pki/ca-trust/source/anchors a spustit:
update-ca-trust extractInstalace aplikace
Při nasazení z AWS Marketplace tuto kapitolu přeskočit a pokračovat níže, viz První spuštění.
Nainstalujeme potřebné balíčky:
RHEL/CentOS 7 (zastaralé):
yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum install -y curl tar ansible libsemanage-python policycoreutils-pythonRHEL/CentOS/Rocky 8:
dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
dnf install -y curl tar ansible python3-libsemanage python3-policycoreutilsRHEL/CentOS/Rocky 9 (doporučené):
Stáhneme a spustíme instalační skript:
V instalátoru je možné vyplnit tyto parametry:
Po spuštění instalace volbou 4 se nainstalují potřebné balíčky, vytvoří a spustí se služby aplikace. Až služby nastartují bude aplikace dostupná ve dvou částech uživatelské a administrátorské. Pokud jste zvolili instalaci bez Let's Encrypt certifikátu, je třeba ještě nastavit použití jiného certifikátu viz. sekce Základní nastavení, jinak nebude aplikace dostupná, neboť má ve výchozím stavu aktivní HSTS a povoluje tak přístup pouze po https s platným certifikátem.
Externí PostgreSQL databáze (volitelné)
Instalační skript automaticky instaluje a konfiguruje místní instanci PostgreSQL která je vyhrazená pro aplikaci SOFiE a přístupná pouze z místního hostitele (localhost).
Externí instance PostgreSQL může být použita za splnění následujících podmínek:
PostgreSQL ve verzi 11 - 16
ručně vytvořená databáze a uživatel pro aplikaci SOFiE (vytvoření externí databáze a uživatele není instalačním skriptem podporováno)
v SOFiE databázi je nainstalováno rozšíření pgcrypto
databázový uživatel je vlastníkem SOFiE databáze
Vlastnosti připojení musí být nastaveny ručně ve dvou souborech:
/etc/sofie/production.properties(pro databázové migrace - v sekci “JDBC connection properties”)/etc/sofie/META-INF/microprofile-config.properties(pro aplikaci SOFiE - v sekci “JDBC configuration”)
Syntaxe JDBC URL včetně všech dostupných parametrů je popsána na adrese:
https://jdbc.postgresql.org/documentation/use/#connecting-to-the-database
První spuštění
Spuštění proběhne automaticky po instalaci aplikace. Při nasazení z AWS Marketplace je aplikace již před-instalovaná a ke spuštění dojde rovnou po nasazení. Po spuštění je k dispozici uživatelské a administrátorské rozhraní pomocí webového prohlížeče na adresách:
Uživatelská část | https://<FQDN> |
Administrátorská část | https://<FQDN>/admin |
Aby se administrátor mohl úspěšně přihlásit do webového rozhraní, měl by po spuštění pokračovat základním nastavením jak je popsáno níže, včetně nastavení hesla administrátora.
Základní nastavení
Následující kroky je třeba provést v příkazové řádce spuštěného serveru aplikace.
Pro přístup do webového rozhraní je třeba mít funkční https certifikát. Pokud funkční není, nebo nasazujeme z AWS Marketplace, musíme spustit příkazy:
(volitelně) Instalace vlastního certifikátu je možná přepsáním souborů vygenerovaného self-signed certifikátu. Soubor certifikátu nahrajeme do “/etc/nginx/cert/certificate.crt” a soubor privátního klíče do “/etc/nginx/cert/private.key”:
Potom restartujeme nginx.
(do verze 2.2.7 včetně) Výchozí administrátorský účet je “admin” s heslem “sofieadmin”. Toto heslo doporučujeme po prvním přihlášení změnit (Nastavení/Administrátoři). Administrátor se musí přihlašovat do administrátorské části (/admin), nikoli do uživatelské.
(od verze 2.2.8 včetně + AWS) Výchozí administrátorský účet je “admin” s náhodně vygenerovaným heslem. Administrátor se musí přihlašovat do administrátorské části (/admin), nikoli do uživatelské. Heslo je před prvním přihlášením třeba resetovat na nové náhodné, které se jednorázově zobrazí v konzoli, pomocí příkazu:
Aby aplikace správně pracovala, je ještě třeba nastavit mail server. To již provedeme v Nastavení/Konfigurace/E-mail ve webovém administrátorském rozhraní.
Pro informace o tom jak aplikaci správně provozovat a o dalším nastavení by se měl administrátor seznámit s Příručka administrátora.
Update aplikace
Je třeba postupovat dle návodu zde: Pokyny k přechodu na novou verzi (Upgrade notes)
Instalace CDR modulu (volitelné)
Od verze 2.3 podporuje aplikace SOFiE volitelný interní modul “Content Disarm and Reconstruction (CDR)“. Modul umožňuje konverzi podporovaných typů souborů (typicky dokumenty Office) do bezpečného formátu, konkrétně PDF bez aktivního obsahu. Aby bylo možné modul využívat, je třeba provést následné instalační kroky:
Po instalaci může administrátor CDR modul aktivovat a nastavit ve webovém rozhraní, v sekci Nastavení - Nastavení detekce.
Instalace antivirových enginů (volitelné)
Konfigurace cest k antivirům se nachází v “/etc/sofie/META-INF/microprofile-config.properties” sekce “# AV”
Avast
Podporovaná verze: Avast Business Antivirus for Linux
(https://www.avast.com/business/products/linux-antivirus#pc)
Manuál: https://repo.avcdn.net/linux-av/doc/avast-techdoc.pdfPřidáme Avast repozitář
Importujeme Avast GPG klíč
Nainstalujeme balíčky Avastu
Stáhneme licenční soubor
Zkopírujeme licenční soubor do /etc/avast/license.avastlic
Upravíme konfiguraci dle potřeby v /etc/avast/*
Spustíme službu antiviru
BitDefender
Podporovaná verze: Bitdefender Endpoint Security Tools 7.x (https://www.bitdefender.com/business/support/en/77209-157515-bitdefender-endpoint-security-tools-for-linux-quick-start-guide.html)
V GravityZone portálu vytvoříme nový package s nastavením :
Package stáhneme jako Linux kit (64-bit)
Rozbalíme a spustíme instalaci:
Spustíme zkušební sken souboru:
V GravityZone portálu vytvoříme pro server policy:
Vytvořenou policy přiřadíme v portálu k serveru.
ClamAV
Provedeme instalaci ClamAVu z epel repozitáře:
Je třeba upravit nastavení “/etc/clamd.d/scan.conf” :
Upravíme systemd soubor:
Spustíme službu :
ESET
Podporovaná verze: ESET File Security pro Linux 10
Stažení: https://www.eset.com/cz/firmy/server-antivirus/file-security-linux/download/ (Stahujeme pro CentOS RedHat.) Manuál: https://help.eset.com/essl/10.2/en-US/, tj. zkráceně:
Stáhneme soubor s nastavením zde, a importujeme:
FortiClient
Instalace předpokládá již nainstalovaný FortiClient Endpoint Management Server (FortiClient EMS). Jeho instalace není součástí tohoto návodu.
Z Fortinet portálu stáhneme aktuální verzi 7.x FortiClienta. Stahujeme headless verzi pro linux např.: forticlient_server_7.0.2.0063_x86_64.rpm
Nainstalujeme:
Registrujeme FortiClient k EMS:
Zkontrolujeme registraci a licenci:
V Forticlient EMS provedeme tyto nastavení:
“Endpoints/Workgroups” vytvoříme skupinu pro registrovaný server.
“Endpoints/Group Assignment Rules” přiřadíme registrovaný server do vytvořené skupiny.
“Endpoint Profiles/Manage Profiles” vytvoříme profil s nastavením pro server. Profil by měl obsahovat následující nastavení:
“Endpoint Policy and Components“ vytvoříme policy pro skupinu s registrovaným serverem a přiřadíme vytvořený profil.
Kaspersky
Podporovaná verze: Kaspersky Endpoint Security 12 for Linux
Stažení aktuální verze pro daný systém: https://support.kaspersky.com/kes-for-linux/12.0 . Stahujeme RPM (x64). např.:
Nainstalujeme:
Spustíme konfiguraci:
Po instalaci vypneme residentní kontrolu:
Upravíme výchozí nastavení skenu:
Importujeme licenci
Sophos
! Upozornění ! - Sophos není možné instalovat na server, kde je již nainstalován BitDefender.
Stažení: https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx .
Nainstalujeme:
Při instalaci nastavíme:
Vypneme zasílání emailů při detekcích:
Trellix
Podporovaná verze: Trellix Command Line Scanner for Linux
(https://kcm.trellix.com/corporate/index?page=content&id=KB94726)
Je součástí např. licence pro “Trellix Protect Standard”Produkt stáhneme po zadání licenčních údajů na https://www.trellix.com/en-us/downloads/my-products.html . Stahujeme “Command Line Scanner”/”Command Line Scanner for Linux 64-bit Version 7.0.3”
Stažený soubor “cls-l64-703-l.tar.gz” přeneseme na server.
Soubor rozbalíme a spustíme instalátor
Stáhneme DAT soubory z https://update.nai.com/products/commonupdater/current/vscandat1000/dat/0000/ a rozbalíme (číslo za “avvdat-” je třeba nahradit aktuálním)
Stáhneme aktualizační skript
Nastavíme automatické spouštění aktualizačního skriptu
Vlastní SSL CA (volitelné)
Přidání certifikační autority do systému
RHEL
Windows
Diagnostika při nedostatku paměti
V některých situacích může docházet k nedostatku paměti který se projeví nefunkčním odbavováním zásilek a následující chybou v aplikačním logu workeru (/opt/sofie-worker-distribution/logs/sofie.log):
Pokud taková situace nastane, dojde automaticky k ukončení a nastartování služby.
Příčinou je většinou příliš vysoký limit maximální velikosti souboru v některém z interních detekčních nástrojů (DLP, Detekce šifrovaného obsahu, MIME). Pokud snížení maximální velikosti souboru nepomůže a k situaci dochází opakovaně, je možné pro diagnostiku aktivovat výpis obsahu paměti (heap). Toho lze docílit vytvořením souboru:
s následujícím obsahem:
Výše uvedená nastavení aktivují uložení výpisu paměti (heap dump) na disk do určené cesty při nedostatku paměti. V cílovém adresáři je nutný dostatek místa alespoň ve velikosti paměti serveru. Pokud v cestě /var/sofie/data/ není dostatek místa, je možné cestu změnit na jinou v parametru HeapDumpPath.
Aby se změna konfigurace projevila, je zapotřebí worker zrestartovat: