4.5. Установка операционной системы

В качестве операционной системы используется RedHat Enterprise Linux или CentOS версии 6.x (32-битная) или 8.x (64-битная).

Примечание

RedHat Enterprise Linux является промышленной операционной системой, техническая поддержка которой осуществляется компанией RedHat Inc. на платной основе (в рамках так называемой Software Subscription). В рамках Red Hat Enterprise Linux Life Cycle, компания RedHat обязуется выпускать обновления на данную операционную систему и исправлять ошибки, связанные с безопасностью (для версии 6.x обновления будут до 30 ноября 2020 г., для версии 8.x этот срок пока не определен).

CentOS - это операционная система, собираемая добровольцами всего мира из пакетов, публикуемых компанией RedHat с добавлением небольших доработок, связанных, в первую очередь, с механизмом получения обновлений на операционную систему.

Из-за отсутствия каких-либо обязательств по выпуску обновлений на CentOS, исправления безопасности на программное обеспечение CentOS выходят с некоторой задержкой, в течение которой операционная система с FraudWall может быть уязвима для атак извне.

Алгоритм установки операционной системы:

  1. Проверяем, что на межсетевом экране (и при необходимости на proxy-сервере) был предоставлен доступ, необходимый для взаимодействия компонент и получения программного обеспечения системы FraudWall (см. разделы 5.1.7 «Конфигурирование межсетевых экранов» и 10.5 «Механизм получения обновлений» ).

  2. Убеждаемся, что в банке есть NTP-сервер времени, который синхронизирован с глобальными серверами времени посредством Internet.

    Примечание

    Как правило, в качестве NTP-сервера времени используется контроллер ActiveDirectory, на котором поднята соответствующая служба.

    Внимание

    Системы ДБО, системы АБС, а также почтовые сервера банка также должны синхронизироваться с NTP-сервером времени банка

  3. Загружаемся в BIOS и выставляем время на сервере во временной зоне UTC (GMT). На 1 января 2015г. время в зоне UTC отставало от московского на 3 часа (т.е. если московское время 13:00, в BIOS необходимо выставить 10:00).

    Внимание

    В случае установки сервера на виртуальную машину, время должно быть выставлено в BIOS виртуальной машины. Детали по загрузке в BIOS виртуальной машины можно получить в документации по программному обеспечению виртуального гипервизора.

  4. Сверяем версию полученного kickstart-диска и версию установочного дистрибутива Linux. Для версии 8.x kickstart-диск должен называться fraudwall-ks.iso, а для версии 6.x должна совпадать подверсия (например, если вы устанавливаете Red Hat Enterprise Linux версии 6.10, файл установочного дистрибутива будет называться rhel-server-6.10-....iso, а kickstart-диск будет выглядеть как fraudwall-ks-rhel-server-6.10-....iso)

  5. Внимание

    Не нужно пытаться ставить Linux без kickstart-диска, т.к. в нем прошиты необходимые параметры для правильной работы FraudWall. Если вы все-таки поставили Linux без kickstart-диска, придется полностью переустанавливать сервер.

  6. Внимание

    Обратите внимание, следующие разделы выполняются с учетом версии операционной системы (6.x или 8.x), т.к. порядок установки операционной системы незначительно отличается.

  7. Только для RHEL/CentOS 8.x: Убеждаемся, что на сервере подключено 2 DVD-привода (в первый из которых вставлен DVD-диск операционной системы, а во второй - kickstart-диск).

    Внимание

    Обратите внимание, при установке версии 8.x DVD-диски должны быть вставлены одновременно, причем важна последовательность, в которой сервер будет видеть эти диски.

    В отличие от 6.x, kickstart-диск версии 8.x является незагрузочным диском, поэтому при запуске сервера может возникнуть ошибка вида "Operation system not found".

    В этом случае поменяйте местами DVD-диски (а для виртуальных машин - подключенные iso-файлы) и загрузитесь повторно.

  8. Только для RHEL/CentOS 8.x: В появившемся меню выбираем меню Install RedHat EnterpriseLinux 8.x или Install CentOS 8.x:

    Рисунок 11. Меню начала установки операционной системы RHEL/CentOS 8.x

    Меню начала установки операционной системы RHEL/CentOS 8.x

  9. Только для RHEL/CentOS 8.x: Установка операционной системы выполнится полностью автоматически, каких-либо вопросов больше не должно запрашиваться, процесс установки показывается на черном фоне.

    Внимание

    Если в процессе установки запускается графический интерфейс установки системы, kickstart-диск не был обнаружен операционной системой. В этом случае убедитесь, что kickstart-диск был вставлен в DVD-привод, а в виртуальной среде - подключен к виртуальной машине.

    Если же процесс установки идет на черном фоне, но при этом будет запрошено конфигурирование жестких дисков, объем жесткого диска на сервере менее допустимых 48 Гб.

    После устранения проблемы перезагрузите сервер и начните установку заново.

  10. Только для RHEL/CentOS 6.x: Загружаемся с kickstart-диска

    Внимание

    Убедитесь, что вы загружаетесь с kickstart-диска, а не с установочного дистрибутива Linux. Сам kickstart-диск представляет собой CD-диск размером 40 мегабайт, имя ISO-образа должно начинаться как fraudwall-ks-...

  11. Только для RHEL/CentOS 6.x: В появившемся меню выбираем меню Install from CD-ROM:

    Рисунок 12. Меню начала установки операционной системы RHEL/CentOS 6.x

    Меню начала установки операционной системы RHEL/CentOS 6.x

  12. Только для RHEL/CentOS 6.x: При появлении сообщения Disc Not Found, необходимо извлечь kickstart-диск и вставить DVD-диск дистрибутива операционной системы, после чего выбрать пункт Ok:

    Рисунок 13. Сообщение о необходимости установки DVD-ROM диска

    Сообщение о необходимости установки DVD-ROM диска

  13. Только для RHEL/CentOS 6.x: Если система устанавливается на виртуальную машину, то вполне возможно, что при установке будет запрошена необходимость инициализировать виртуальный жесткий диск. В этом случае с помощью кнопок клавиатуры Tab и Enter необходимо выбрать пункт Re-initialize all, как показано на рисунке:

    Рисунок 14. Сообщение о необходимости инициализировать жесткий диск

    Сообщение о необходимости инициализировать жесткий диск


  14. Установка операционной системы, включая выбор необходимых компонент, форматирование разделов жесткого диска и т.д. осуществляется автоматически.

    Примечание

    Если процесс автоматической установки операционной системы не запустился, необходимо обратиться в службу технической поддержки.

  15. По завершению процесса установки будет отображено соответствующее уведомление:

    Рисунок 15. Сообщение о завершении установки операционной системы

    Сообщение о завершении установки операционной системы

    После нажатия на клавишу Enter будет осуществлена перезагрузка системы.

    Внимание

    В BIOS компьютера должен быть установлен приоритет загрузки с жесткого диска, иначе после перезагрузки запустится повторная установка операционной системы c DVD-диска.

  16. После перезагрузки необходимо выполнить первоначальное конфигурирование операционной системы. В RHEL/CentOS 6.x соответствующий интерфейс запустится автоматически, а для RHEL/CentOS 8.x необходимо зайти под пользователем root и паролем 12345, а затем выполнить команду:

    fw_setup

  17. В появившемся окне необходимо указать параметры операционной системы сервера:

    Рисунок 16. Конфигурирование сетевых настроек сервера

    Конфигурирование сетевых настроек сервера

  18. Назначаем серверу доменное имя (в соответствии с принятыми в банке правилами формирования названий серверов банка), указываем статический IP адрес сервера и остальные сетевые настройки

    Примечание

    Если на этом этапе сетевые настройки сервера были указаны некорректно, то инициализация сетевого интерфейса может завершиться с ошибкой. Исправить их можно на одном из последующих этапах этого раздела.

  19. Если вы на предыдущем этапе ошиблись в указании сетевых настроек, их можно исправить в соответствии с разделом 5.1.6 «Администрирование сетевых настроек».

  20. Только для RHEL/CentOS 6.x: Откроется окно приглашения ввода логина и пароля при работе сервером. Заходим под логином root, пароль 12345

    Рисунок 17. Приглашение на ввод пароля в консоли RedHat Enterprise Linux

    Приглашение на ввод пароля в консоли RedHat Enterprise Linux

  21. При установке на операционную систему RedHat Enterprise Linux необходимо зарегистрировать установленный сервер в соответствии с разделом 12.1 «Процедура регистрации операционной системы RedHat Enterprise Linux».

  22. Если сервер будет скачивать обновления в проксированном режиме, необходимо выполнить настройки, указанные в разделе 10.5.2 «Конфигурирование получения обновлений в проксированном режиме» .

  23. Выполняем команду установки минимально необходимых компонент (для подтверждения установки укажите y и нажмите Enter): yum install fraudwall-system

  24. В командной строке запускаем команду: fw_passwd root

    Меняем пароль учетной записи root на другой.

    Внимание

    Если пароль пользователя root забыт, существует довольно сложная процедура сброса пароля, которая потребует перезагрузки сервера. Поэтому рекомендуется указывать такой пароль, который не будет утерян либо забыт.

    Учетная запись root позволяет получить неограниченный доступ к серверу FraudWall, в том числе к дампам трафика работы клиентов в системе ДБО, содержащих конфиденциальную информацию. Поэтому храните пароль учетной записи root в секрете.

  25. Подключаемся к серверу файловым менеджером по протоколу SFTP(SCP) и копируем файл с лицензией в файл /etc/fraudwall/license.dat

    Примечание

    Работа с SFTP (SCP)-клиентом описана в разделе 5.1.3 «Интерфейс передачи файлов посредством протоколов SCP и SFTP»

  26. В SSH-консоли запускаем Midnight Commander командой: mc

  27. Указываем в конфигурационных файлах /etc/fraudwall/fwcontrol.xml и /etc/fraudwall/fraudwall.xml значение всех параметров.

    Примечание

    Содержимое конфигурационных файлов /etc/fraudwall/fwcontrol.xml и /etc/fraudwall/fraudwall.xml, как правило, идентично на всех серверах, где установлена система FraudWall. Если вы устанавливаете операционную систему для еще одного сервера системы FraudWall, можно скопировать эти файлы с ранее настроенного сервера.

    Внимание

    Обратите внимание, что есть ограничения по допустимым символам логина и пароля, которые могут быть указаны в конфигурационном файле.

    Детальное описание параметров приведено в разделах 5.2.3 «Конфигурационный файл fraudwall.xml» и 5.2.2 «Конфигурационный файл fwcontrol.xml».

  28. Если сервер установлен на виртуальную машину VMWare, на установленную операционную систему рекомендуется установить программное обеспечение VMWare Tools. Документацию по установке VMWare Tools на RedHat Enterprise Linux 6 либо CentOS можно получить на сайте компании VMware, Inc.

  29. Устанавливаем обновления на операционную систему в соответствии с разделом 10.3.2 «Установка обновлений на операционную систему в ручном режиме»fw_update -s

  30. Перегружаем сервер командой reboot