Несмотря на то, что сервер с установленной системой FraudWall рассчитан на автономную многолетнюю работу, ряд операций, связанных с администрированием операционной системы, придется выполнять вручную.
Для администрирования операционной системы RedHat Enterprise Linux рекомендуется пройти обучение на соответствующих курсах в специализированных учебных центрах.
Для получения помощи по использованию команд необходимо выполнить команду: man имя_команды
На большинство вопросов можно получить ответ, воспользовавшись поисковыми системами в сети Интернет.
Компания RedHat предоставляет 3 уровня технической поддержки операционной системы RedHat Enterprise Linux:
Self-support Subscription
Standard Subscription
Premium Subscription
Более детальную информацию по условиям технической поддержки RedHat можно уточнить на сайте компании RedHat.
Системное администрирование сервера с FraudWall осуществляется по протоколу SSH (см. раздел 5.1.2 «Администрирование через SSH-консоль»).
Для обмена файлами с сервером предусмотрено 2 варианта:
по протоколу SCP либо SFTP (см. раздел 5.1.3 «Интерфейс передачи файлов посредством протоколов SCP и SFTP»)
по сетевому диску (network share) сети Microsoft (см. раздел 5.1.4 «Интерфейс передачи файлов посредством сетевых дисков сети Microsoft»)
Существует также Web-интерфейс системы мониторинга, доступный по протоколу HTTP на порту TCP 2812, позволяющий посмотреть статус контролируемых сервисов в режиме «только чтение».
Консольное администрирование всех серверов с системой FraudWall осуществляется по шифрованному протоколу SSH.
В качестве SSH-клиента можно использовать любое программное обеспечение, например, PuTTY. В настройках SSH-клиента необходимо указать кодировку символов UTF-8:
Обмен файлами посредством протоколов SCP и SFTP осуществляется внутри шифрованного SSH-туннеля.
На компьютер администратора необходимо установить соответствующее программное обеспечение, например, WinSCP. В настройках SSH-клиента необходимо указать кодировку символов UTF-8.
Для увеличения скорости передачи файлов по протоколу SCP(SFTP), во вкладке [SSH] рекомендуется установить алгоритм шифрования blowfish первым используемым алгоритмом. Например, для плагина WinSCP к файловому менеджеру FAR такая настройка выглядит следующим образом:
Для упрощенных задач администрирования предусмотрен обмен файлами посредством сетевых дисков сети Microsoft.
Для подключения к сетевым дискам сервера FraudWall, необходимо в Проводнике открыть путь \\IP_адрес_сервера, либо найти компьютер в сети Microsoft с соответствующим именем (рабочая группа WORKGROUP):
В операционной системе предусмотрены следующие учетные записи, посредством которых можно подключиться к сетевым дискам сервера FraudWall:
Таблица 7. Пользователи операционной системы, которые могут подключиться к сетевым дискам сервера FraudWall
| Логин | Типовая роль |
|---|---|
| root | администрирование операционной системы |
| dbo | обновление файлов WWW-сервера ДБО (например, если модуль BSI.JAR установлен непосредственно на сервер FraudWall и он является WWW-сервером для системы ДБО) |
| backup | автоматизированный перенос архивов журналов событий и дампов трафика с сервера FraudWall на внешний архивный сервер |
| security | для импорта списков 550-П и просмотра журнала событий из /var/log/fraudwall и /var/log/archive |
| podft | для импорта списков 550-П |
В качестве пароля необходимо использовать соответствующий пароль в операционной системе, заданный с помощью утилиты fw_passwd
Внимание
Обратите внимание, что для установки пароля пользователя в операционной системе необходимо использовать утилиту fw_passwd, поставляемую в комплекте программного обеспечения FraudWall. Сервис SAMBA, который обеспечивает функционал подключения к файловым ресурсам Linux, использует отдельный пароль, не связанный с паролем операционной системы. Поэтому, если в операционной системе пароль пользователя изменен с помощью штатной системной утилиты passwd (а не утилиты fw_passwd), пароль пользователя, используемый для подключения сетевым дискам, не будет синхронизирован.
На сервере предусмотрены следующие сетевые диски:
Таблица 8. Доступные сетевые диски
| Диск | Доступ | Аналог файлового пути Linux | Назначение |
|---|---|---|---|
| disk |
root только для чтения |
/ | позволяет прочитать любой файл на диске сервера |
| log |
root, security только для чтения |
/var/log/ | чтение журналов событий, хранящихся в виде файлов |
| archive |
root, backup, security чтение / запись |
/var/log/archive/ | для переноса архивных файлов с сервера FraudWall на другой сервер (либо внешний носитель) |
| 550p |
root, security, podft чтение / запись |
/etc/fraudwall/blacklist/550p | для импорта списков по 550-П |
| bsi |
root, dbo чтение / запись |
/etc/tomcat6/RT_Ic/ | Для записи на сервер файлов модуля BSI системы BSClient (появляется, если модуль BSI системы BSClient устанавливается непосредственно на сервер FraudWall) |
| siteN |
root, dbo чтение / запись |
/etc/fraudwall/site/www/siteN | Для записи на сервер файлов WWW-сайта с ID=N |
При установке системы пользователю root, обладающему неограниченными правами в операционной системе, присваивается пароль 12345.
Для изменения пароля пользователя операционной системы необходимо выполнить команду: fw_passwd имя_пользователя
Внимание
Для подключения к сетевым дискам сервера необходимо хотя бы один раз установить пароль пользователя root с помощью утилиты fw_passwd.
Существует также ряд команд по созданию (useradd), удалению (userdel) пользователей и групп (groupadd и groupdel соответственно) - более подробное описание их можно получить в специализированной литературе по администрированию операционной системы Linux.
Внимание
Если вы забыли пароль пользователя root, существует процедура его сброса на первоначальное значение, требующая перезагрузки сервера. Для получения детальных инструкций обратитесь в службу технической поддержки.
Для сетевого взаимодействия в системе используется один Ethernet-адаптер со статическим IP адресом.
Для изменения сетевых настроек необходимо выполнить команду: service fw_setup start
После указания сетевых настроек, они вступают в силу сразу по завершению выполнения команды.
Внимание
При смене IP адреса сервера обязательно проверьте значение IP адресов, указанных в файле /etc/fraudwall/fraudwall.xml (старый IP адрес может встречаться в нескольких местах этого файла)
При изменении MAC-адреса сетевой платы (например, при клонировании виртуальной машины либо замене сетевой платы) необходимо выполнить команду: rm -f /etc/udev/rules.d/70-persistent-net.rulesпосле чего перегрузить сервер командой reboot
На сервере отключена локальная служба межсетевого экранирования. Для защиты сервера FraudWall от несанкционированного доступа по сети необходимо использовать специализированные сторонние межсетевые экраны.
Полный перечень сетевых портов, необходимых для написания правил межсетевого экранирования, приведен в таблице:
Таблица 9. Доступ, необходимый для любого сервера FraudWall
| доступ | назначение |
|---|---|
| от компьютеров администраторов к этому серверу по TCP 22, 2812, 139, 445 и UDP 137, 138 | администрирование сервера, доступ к сетевым ресурсам сервера |
| от этого сервера к банковскому DNS-серверу по UDP 53 и TCP 53 | распознавание DNS-имен |
| от этого сервера к NTP-серверу синхронизации времени банка по UDP 123 | синхронизация времени |
| от этого сервера к прокси-серверу банка на TCP порт прокси-сервера | получение обновлений из сети Интернет в прокси-режиме (если обновление идет через банковский прокси-сервер). Если в банке устанавливается WWW-сервер обновлений, доступ открывать только для него. |
| от этого сервера ко всей сети интернет по TCP 80 и 443 | получение обновлений из сети Интернет (если обновление идет прямым соединением с сервером в сети Интернет). Если в банке устанавливается WWW-сервер обновлений, доступ открывать только для него. |
| от этого сервера к WWW-серверу обновлений по TCP 1003 | получение обновлений от WWW-сервера обновлений (если он установлен) |
Таблица 10. Дополнительный доступ для сервера управления
| доступ | назначение |
|---|---|
| от пользователей системы FraudWall к этому серверу по TCP 1000 | работа в WWW-интерфейсе системы |
| от этого сервера ко всей сети интернет по TCP 43 | получение WHOIS-информации об IP адресе в интерфейсе системы (не обязательно) |
| от этого сервера к банковскому почтовому серверу по TCP 25 | отправка информационных сообщений по SMTP-почте |
| от банковского почтового сервера к этому серверу по TCP 25 | получение писем антидроп-клуба |
Таблица 11. Дополнительный доступ для сервера анализа трафика (если установлен)
| доступ | назначение |
|---|---|
| от этого сервера к серверу управления по TCP 1000, 5432 и 11211 | внутренний информационный обмен |
| от сервера управления к этому серверу по TCP 1001 | внутренний информационный обмен |
| от этого сервера к банковскому почтовому серверу по TCP 25 | отправка информационных сообщений по SMTP-почте |
Журналы событий всех процессов сервера хранятся в файлах в директории /var/log.
Дата и время во всех журналах событий представлено во временной зоне UTC (GMT). На 1 января 2012г. время в зоне UTC отставало от московского на 4 часа (т.е. если московское время 14:00, время события в журнале событий будет зафиксировано как 10:00).
Назначение основных файлов журналов приведено в таблице:
Таблица 12.
| Файл | Назначение |
|---|---|
/var/log/messages
|
Основной файл журналов событий операционной системы |
/var/log/maillog
|
Файл журналов событий почтовой системы |
/var/log/monit
|
Файл журналов событий системы мониторинга и самовосстановления |
/var/log/yum.log
|
Файл журналов событий установки обновлений |
/var/log/sa/sarДД
|
История загрузки ресурсов сервера за заданную дату |
/var/log/postgresql/ postgresql-*
|
Файл журналов событий базы данных PostgreSQL. Имя файла соответствует дате запуска сервиса. |
/var/log/tomcat6/catalina-*
|
Файл журналов событий Tomcat. Имя файла соответствует дате запуска сервиса. |
/var/log/fraudwall/fw_control.log
|
Файл журналов событий модуля управления системы FraudWall. |
/var/log/fraudwall/ fw_master_access.log
|
Файл журналов событий управляющего WWW-сервера системы FraudWall. |
/var/log/fraudwall/ fw_master_error.log
|
Файл журналов ошибок управляющего WWW-сервера системы FraudWall. |
/var/log/fraudwall/ fw_slave_access.log
|
Файл журналов событий исполнительного WWW-сервера системы FraudWall. |
/var/log/fraudwall/ fw_slave_error.log
|
Файл журналов ошибок исполнительного WWW-сервера системы FraudWall. |
/var/log/fraudwall/ hguard.log
|
Файл журналов ошибок модуля «hGuard. Модуль фильтрации HTTP-трафика» |
/var/log/fraudwall/ siteN-af.log
|
Файл журналов ошибок модуля «FraudWall. Анализатор трафика» для сайта с ID=N |
/var/log/fraudwall/ siteN-afdb.log
|
Файл журналов ошибок анализатора платежей из базы данных для сайта с ID=N |
/var/log/fraudwall/ siteN-http_access.log
|
Файл журналов событий WWW-сервера Apache модуля «hGuard. Модуль фильтрации HTTP-трафика» для сайта с ID=N |
/var/log/fraudwall/ siteN-http_error.log
|
Файл журналов ошибок WWW-сервера Apache модуля «hGuard. Модуль фильтрации HTTP-трафика» для сайта с ID=N |
/var/log/fraudwall/ siteN-jk.log
|
Файл журналов событий модуля mod_jk, применимых к сайту с ID=N |
/var/log/fraudwall/ siteN-learn.log
|
Файл журналов событий процесса получения исполненных платежей из базы данных ДБО или АБС |
/var/log/fraudwall/ siteN-learn.dat.last
|
Файл, в котором хранится дата (в зоне UTC), по которую завершилось обучение по исполненным платежам в базе данных ДБО или АБС |
/var/log/fraudwall/ fw_site_access.log
|
Файл журналов событий WWW-сервера Apache модуля «hGuard. Модуль фильтрации HTTP-трафика» для запросов, не относящихся ни к одному из сайтов |
/var/log/fraudwall/ fw_site_error.log
|
Файл журналов ошибок WWW-сервера Apache модуля «hGuard. Модуль фильтрации HTTP-трафика» для запросов, не относящихся ни к одному из сайтов |
/var/log/fraudwall/mod_jk.log
|
Файл журналов событий модуля mod_jk |
Каждую ночь автоматически осуществляется переключение файлов старых журналов событий и помещение их в архивные файлы в директорию /var/log/archive.
Имя архивного файла формируется по правилу: тип-датаГГГГММДД_времяЧЧММСС-имя_сервера.расширение
Существуют следующие типы архивных файлов:
fwlog - архивы файлов событий системы FraudWall
syslog - архивы файлов событий операционной системы
dump - архивы дампа трафика работы клиентов
В качестве программы - архиватора используется rar (если установлен), либо tar с сжатием BZIP2 (если не установлен rar). В соответствии с используемым архиватором, расширение будет .rar либо .tar.bz2.
В случае использования программы - архиватора rar, возможно дополнительное шифрование содержимого архивов по паролю. Пароль шифрования указывается в параметре archive_password в конфигурационном файле fwcontrol.xml.
Рекомендуется ежедневно переносить архивные файлы с журналами событий, созданные в директории /var/log/archive (сетевой диск archive), на внешний носитель.
Рекомендуется обновлять программное обеспечение операционной системы в малозагруженное время, но не реже, чем 1 раза в неделю.
Рекомендуется также периодически просматривать файлы журналов событий на наличие критичных записей (ошибки обновления, проблемы в работе и т.д.).
Рекомендуется периодически формировать архивный образ жестких дисков всех серверов системы специализированными средствами создания резервных копий.