5. Администрирование системы FraudWall

5.1. Администрирование операционной системы

5.1.1. Общие положения

Несмотря на то, что сервер с установленной системой FraudWall рассчитан на автономную многолетнюю работу, ряд операций, связанных с администрированием операционной системы, придется выполнять вручную.

Для администрирования операционной системы RedHat Enterprise Linux рекомендуется пройти обучение на соответствующих курсах в специализированных учебных центрах.

Для получения помощи по использованию команд необходимо выполнить команду: man имя_команды

На большинство вопросов можно получить ответ, воспользовавшись поисковыми системами в сети Интернет.

Компания RedHat предоставляет 3 уровня технической поддержки операционной системы RedHat Enterprise Linux:

  • Self-support Subscription

  • Standard Subscription

  • Premium Subscription

Более детальную информацию по условиям технической поддержки RedHat можно уточнить на сайте компании RedHat.

Системное администрирование сервера с FraudWall осуществляется по протоколу SSH (см. раздел 5.1.2 «Администрирование через SSH-консоль»).

Для обмена файлами с сервером предусмотрено 2 варианта:

Существует также Web-интерфейс системы мониторинга, доступный по протоколу HTTP на порту TCP 2812, позволяющий посмотреть статус контролируемых сервисов в режиме «только чтение».

5.1.2. Администрирование через SSH-консоль

Консольное администрирование всех серверов с системой FraudWall осуществляется по шифрованному протоколу SSH.

В качестве SSH-клиента можно использовать любое программное обеспечение, например, PuTTY. В настройках SSH-клиента необходимо указать кодировку символов UTF-8:

Рисунок 35. Выбор кодировки для администрирования

Выбор кодировки для администрирования

5.1.3. Интерфейс передачи файлов посредством протоколов SCP и SFTP

Обмен файлами посредством протоколов SCP и SFTP осуществляется внутри шифрованного SSH-туннеля.

На компьютер администратора необходимо установить соответствующее программное обеспечение, например, WinSCP. В настройках SSH-клиента необходимо указать кодировку символов UTF-8.

Для увеличения скорости передачи файлов по протоколу SCP(SFTP), во вкладке [SSH] рекомендуется установить алгоритм шифрования blowfish первым используемым алгоритмом. Например, для плагина WinSCP к файловому менеджеру FAR такая настройка выглядит следующим образом:

Рисунок 36. Выбор алгоритма шифрования

Выбор алгоритма шифрования

5.1.4. Интерфейс передачи файлов посредством сетевых дисков сети Microsoft

Для упрощенных задач администрирования предусмотрен обмен файлами посредством сетевых дисков сети Microsoft.

Для подключения к сетевым дискам сервера FraudWall, необходимо в Проводнике открыть путь \\IP_адрес_сервера, либо найти компьютер в сети Microsoft с соответствующим именем (рабочая группа WORKGROUP):

Рисунок 37. Подключение к сетевым дискам сервера FraudWall

Подключение к сетевым дискам сервера FraudWall

В операционной системе предусмотрены следующие учетные записи, посредством которых можно подключиться к сетевым дискам сервера FraudWall:

Таблица 7. Пользователи операционной системы, которые могут подключиться к сетевым дискам сервера FraudWall

Логин Типовая роль
root администрирование операционной системы
dbo обновление файлов WWW-сервера ДБО (например, если модуль BSI.JAR установлен непосредственно на сервер FraudWall и он является WWW-сервером для системы ДБО)
backup автоматизированный перенос архивов журналов событий и дампов трафика с сервера FraudWall на внешний архивный сервер
security для импорта списков 550-П и просмотра журнала событий из /var/log/fraudwall и /var/log/archive
podft для импорта списков 550-П

В качестве пароля необходимо использовать соответствующий пароль в операционной системе, заданный с помощью утилиты fw_passwd

Внимание

Обратите внимание, что для установки пароля пользователя в операционной системе необходимо использовать утилиту fw_passwd, поставляемую в комплекте программного обеспечения FraudWall. Сервис SAMBA, который обеспечивает функционал подключения к файловым ресурсам Linux, использует отдельный пароль, не связанный с паролем операционной системы. Поэтому, если в операционной системе пароль пользователя изменен с помощью штатной системной утилиты passwd (а не утилиты fw_passwd), пароль пользователя, используемый для подключения сетевым дискам, не будет синхронизирован.

На сервере предусмотрены следующие сетевые диски:

Таблица 8. Доступные сетевые диски

Диск Доступ Аналог файлового пути Linux Назначение
disk

root

только для чтения

/ позволяет прочитать любой файл на диске сервера
log

root, security

только для чтения

/var/log/ чтение журналов событий, хранящихся в виде файлов
archive

root, backup, security

чтение / запись

/var/log/archive/ для переноса архивных файлов с сервера FraudWall на другой сервер (либо внешний носитель)
550p

root, security, podft

чтение / запись

/etc/fraudwall/blacklist/550p для импорта списков по 550-П
bsi

root, dbo

чтение / запись

/etc/tomcat6/RT_Ic/ Для записи на сервер файлов модуля BSI системы BSClient (появляется, если модуль BSI системы BSClient устанавливается непосредственно на сервер FraudWall)
siteN

root, dbo

чтение / запись

/etc/fraudwall/site/www/siteN Для записи на сервер файлов WWW-сайта с ID=N

5.1.5. Пользователи операционной системы

При установке системы пользователю root, обладающему неограниченными правами в операционной системе, присваивается пароль 12345.

Для изменения пароля пользователя операционной системы необходимо выполнить команду: fw_passwd имя_пользователя

Внимание

Для подключения к сетевым дискам сервера необходимо хотя бы один раз установить пароль пользователя root с помощью утилиты fw_passwd.

Существует также ряд команд по созданию (useradd), удалению (userdel) пользователей и групп (groupadd и groupdel соответственно) - более подробное описание их можно получить в специализированной литературе по администрированию операционной системы Linux.

Внимание

Если вы забыли пароль пользователя root, существует процедура его сброса на первоначальное значение, требующая перезагрузки сервера. Для получения детальных инструкций обратитесь в службу технической поддержки.

5.1.6. Администрирование сетевых настроек

Для сетевого взаимодействия в системе используется один Ethernet-адаптер со статическим IP адресом.

Для изменения сетевых настроек необходимо выполнить команду: service fw_setup start

После указания сетевых настроек, они вступают в силу сразу по завершению выполнения команды.

Внимание

При смене IP адреса сервера обязательно проверьте значение IP адресов, указанных в файле /etc/fraudwall/fraudwall.xml (старый IP адрес может встречаться в нескольких местах этого файла)

5.1.6.1. Действия в случае изменения MAC-адреса сетевой платы сервера

При изменении MAC-адреса сетевой платы (например, при клонировании виртуальной машины либо замене сетевой платы) необходимо выполнить команду: rm -f /etc/udev/rules.d/70-persistent-net.rulesпосле чего перегрузить сервер командой reboot

5.1.7. Конфигурирование межсетевых экранов

На сервере отключена локальная служба межсетевого экранирования. Для защиты сервера FraudWall от несанкционированного доступа по сети необходимо использовать специализированные сторонние межсетевые экраны.

Полный перечень сетевых портов, необходимых для написания правил межсетевого экранирования, приведен в таблице:

Таблица 9. Доступ, необходимый для любого сервера FraudWall

доступ назначение
от компьютеров администраторов к этому серверу по TCP 22, 2812, 139, 445 и UDP 137, 138 администрирование сервера, доступ к сетевым ресурсам сервера
от этого сервера к банковскому DNS-серверу по UDP 53 и TCP 53 распознавание DNS-имен
от этого сервера к NTP-серверу синхронизации времени банка по UDP 123 синхронизация времени
от этого сервера к прокси-серверу банка на TCP порт прокси-сервера получение обновлений из сети Интернет в прокси-режиме (если обновление идет через банковский прокси-сервер). Если в банке устанавливается WWW-сервер обновлений, доступ открывать только для него.
от этого сервера ко всей сети интернет по TCP 80 и 443 получение обновлений из сети Интернет (если обновление идет прямым соединением с сервером в сети Интернет). Если в банке устанавливается WWW-сервер обновлений, доступ открывать только для него.
от этого сервера к WWW-серверу обновлений по TCP 1003 получение обновлений от WWW-сервера обновлений (если он установлен)


Таблица 10. Дополнительный доступ для сервера управления

доступ назначение
от пользователей системы FraudWall к этому серверу по TCP 1000 работа в WWW-интерфейсе системы
от этого сервера ко всей сети интернет по TCP 43 получение WHOIS-информации об IP адресе в интерфейсе системы (не обязательно)
от этого сервера к банковскому почтовому серверу по TCP 25 отправка информационных сообщений по SMTP-почте
от банковского почтового сервера к этому серверу по TCP 25 получение писем антидроп-клуба


Таблица 11. Дополнительный доступ для сервера анализа трафика (если установлен)

доступ назначение
от этого сервера к серверу управления по TCP 1000, 5432 и 11211 внутренний информационный обмен
от сервера управления к этому серверу по TCP 1001 внутренний информационный обмен
от этого сервера к банковскому почтовому серверу по TCP 25 отправка информационных сообщений по SMTP-почте


5.1.8. Подсистема журналирования

Журналы событий всех процессов сервера хранятся в файлах в директории /var/log.

Дата и время во всех журналах событий представлено во временной зоне UTC (GMT). На 1 января 2012г. время в зоне UTC отставало от московского на 4 часа (т.е. если московское время 14:00, время события в журнале событий будет зафиксировано как 10:00).

Назначение основных файлов журналов приведено в таблице:

Таблица 12.

Файл Назначение
/var/log/messages Основной файл журналов событий операционной системы
/var/log/maillog Файл журналов событий почтовой системы
/var/log/monit Файл журналов событий системы мониторинга и самовосстановления
/var/log/yum.log Файл журналов событий установки обновлений
/var/log/sa/sarДД История загрузки ресурсов сервера за заданную дату
/var/log/postgresql/ postgresql-* Файл журналов событий базы данных PostgreSQL. Имя файла соответствует дате запуска сервиса.
/var/log/tomcat6/catalina-* Файл журналов событий Tomcat. Имя файла соответствует дате запуска сервиса.
/var/log/fraudwall/fw_control.log Файл журналов событий модуля управления системы FraudWall.
/var/log/fraudwall/ fw_master_access.log Файл журналов событий управляющего WWW-сервера системы FraudWall.
/var/log/fraudwall/ fw_master_error.log Файл журналов ошибок управляющего WWW-сервера системы FraudWall.
/var/log/fraudwall/ fw_slave_access.log Файл журналов событий исполнительного WWW-сервера системы FraudWall.
/var/log/fraudwall/ fw_slave_error.log Файл журналов ошибок исполнительного WWW-сервера системы FraudWall.
/var/log/fraudwall/ hguard.log Файл журналов ошибок модуля «hGuard. Модуль фильтрации HTTP-трафика»
/var/log/fraudwall/ siteN-af.log Файл журналов ошибок модуля «FraudWall. Анализатор трафика» для сайта с ID=N
/var/log/fraudwall/ siteN-afdb.log Файл журналов ошибок анализатора платежей из базы данных для сайта с ID=N
/var/log/fraudwall/ siteN-http_access.log Файл журналов событий WWW-сервера Apache модуля «hGuard. Модуль фильтрации HTTP-трафика» для сайта с ID=N
/var/log/fraudwall/ siteN-http_error.log Файл журналов ошибок WWW-сервера Apache модуля «hGuard. Модуль фильтрации HTTP-трафика» для сайта с ID=N
/var/log/fraudwall/ siteN-jk.log Файл журналов событий модуля mod_jk, применимых к сайту с ID=N
/var/log/fraudwall/ siteN-learn.log Файл журналов событий процесса получения исполненных платежей из базы данных ДБО или АБС
/var/log/fraudwall/ siteN-learn.dat.last Файл, в котором хранится дата (в зоне UTC), по которую завершилось обучение по исполненным платежам в базе данных ДБО или АБС
/var/log/fraudwall/ fw_site_access.log Файл журналов событий WWW-сервера Apache модуля «hGuard. Модуль фильтрации HTTP-трафика» для запросов, не относящихся ни к одному из сайтов
/var/log/fraudwall/ fw_site_error.log Файл журналов ошибок WWW-сервера Apache модуля «hGuard. Модуль фильтрации HTTP-трафика» для запросов, не относящихся ни к одному из сайтов
/var/log/fraudwall/mod_jk.log Файл журналов событий модуля mod_jk


Каждую ночь автоматически осуществляется переключение файлов старых журналов событий и помещение их в архивные файлы в директорию /var/log/archive.

Имя архивного файла формируется по правилу: тип-датаГГГГММДД_времяЧЧММСС-имя_сервера.расширение

Существуют следующие типы архивных файлов:

  • fwlog - архивы файлов событий системы FraudWall

  • syslog - архивы файлов событий операционной системы

  • dump - архивы дампа трафика работы клиентов

В качестве программы - архиватора используется rar (если установлен), либо tar с сжатием BZIP2 (если не установлен rar). В соответствии с используемым архиватором, расширение будет .rar либо .tar.bz2.

В случае использования программы - архиватора rar, возможно дополнительное шифрование содержимого архивов по паролю. Пароль шифрования указывается в параметре archive_password в конфигурационном файле fwcontrol.xml.

5.1.9. Регламентные процедуры

Рекомендуется ежедневно переносить архивные файлы с журналами событий, созданные в директории /var/log/archive (сетевой диск archive), на внешний носитель.

Рекомендуется обновлять программное обеспечение операционной системы в малозагруженное время, но не реже, чем 1 раза в неделю.

Рекомендуется также периодически просматривать файлы журналов событий на наличие критичных записей (ошибки обновления, проблемы в работе и т.д.).

Рекомендуется периодически формировать архивный образ жестких дисков всех серверов системы специализированными средствами создания резервных копий.