Установка приложения

Чтобы безопасно подключиться к серверу Linux, вам нужно настроить SSH-ключи.

Если у вас еще нет SSH-ключей, вы можете сгенерировать их с помощью следующей команды в терминале сервера:

ssh-keygen

Установка SSH-ключа на сервер

После генерации SSH-ключей вам нужно скопировать открытый SSH-ключ на сервер Linux. Используйте следующую команду для копирования открытого ключа:

ssh-copy-id <имя_пользователя>@<ip-адрес_сервера>

Замените <имя_пользователя> на имя пользователя вашей учетной записи Linux-сервера, а <ip-адрес_сервера> на IP-адрес Linux-сервера. Вам будет предложено ввести пароль для аутентификации.

Откройте на локальной машине файл, в котором хранится закрытый SSH-ключ. Закрытый ключ обычно сохраняется с расширением .pem или .ssh.

Выберите и скопируйте содержимое файла закрытого ключа. Убедитесь, что вы скопировали ключ с правильными разрешениями и разрывами строк.

Перед использованием установите менеджер пакетов "Helm" для Kubernetes и сконфигурируйте подключение к кластеру

Шаг 1: Добавьте пакет Helm

Добавьте на локальный компьютер пакет Helm:

helm repo add securitycenter https://gitlab.cybercodereview.ru/api/v4/projects/47/packages/helm/stable

Шаг 2: Обновите репозиторий с чартом

Это позволит получить информацию о последней версии нашего чарта

helm repo update

Шаг 3: Создайте файл values с настройками чарта

Перейдите в вашу рабочую папку, где впоследствии будете изменять некоторые параметры настройки чарта и создайте файл с любым наименованием, а также с расширением .yaml или .yml . Далее в качестве примера будет использоваться values.yaml.

Шаг 4: Задайте переменные настройки чарта

Далее необходимо заполнить файл values.yaml.

global:
  image:
    tag: "<актуальный_тег>"

configs:
  configmap:
    variables:
      COOKIES_SECURE: "True"
      DOMAIN: "https://security-center.example.com"

  secret:
    variables:
      DB_HOST: "security-center-postgres" # имя Service в Kubernetes или внешний хост
      DB_PORT: "5432"
      DB_NAME: "securitycenter"
      DB_USER: "user"
      DB_PASS: "pass" 
      # auditor-rabbitmq - имя Service в Kubernetes или внешний хост
      AMQP_HOST_STRING: "amqp://user:pass@security-center-rabbitmq:5672"

ingress:
  enabled: true
  host: "security-center.example.com"
  class: nginx
  tls:
    enabled: true
    secretName: "<имя секрета>"
  annotations:
  labels: {}

Далее необходимо отредактировать values под Ваши нужды.

Тег

Начнем с поля global.image.tag. Чтобы узнать актуальный тег, необходимо перейти в список релизов нашего репозитория. Берем самый верхний тег, например, на скриншоте 2.7.1.

Например:

global:
  image:
    tag: "2.7.1"

Webhook для интеграции с Jira

Для настройки Webhook добавьте в файл values.yaml следующие поля:

webhook:
  ingress:
    path: "/api/v1/jira-helper/jira-event/<your-webhook>/"

Замените "your-webhook" в значении переменной на предварительно сгенерированный Webhook в Jira.

Домен

Для указания доменного имени Вашего Auditor необходимо отредактировать поле configs.configmap.variables.DOMAIN. Например:

configs:
  configmap:
    variables:
      COOKIES_SECURE: "True"
      DOMAIN: "https://security-center.example.com"

COOKIES_SECURE: переменная определяет флаг безопасной передачи cookies. Она должна быть установлена в значение True, если вы используете HTTPS.

Укажите в переменной DOMAIN хост, по которому будет доступен Security Center.

Подключение к СУБД PostgreSQL

Для настройки подключения в PostgreSQL необходимо заполнить следующие поля:

• configs.configmap.variables.DB_HOST - Это может быть как именем сервиса в kubernetes, так и внешним хостом.

• configs.configmap.variables.DB_PORT - Порт, на котором PostgreSQL "слушает" подключения.

• configs.configmap.variables.DB_NAME - Имя базы данных, созданной для Auditor.

• configs.configmap.variables.DB_USER - Пользователь для базы данных из верхнего пункта.

• configs.configmap.variables.DB_PASS - Пароль от пользователя из пункта выше.

Значения по умолчанию:

configs:
  secret:
    variables:
      DB_HOST: "security-center-postgres" # имя Service в Kubernetes или внешний хост
      DB_PORT: "5432"
      DB_NAME: "auditor"
      DB_USER: "user"
      DB_PASS: "pass"

Чтобы поменять значения по-умолчанию(которые принимает сама Postgre), необходимо изменить следующие поля:

postgresql:  
  auth:
    database: auditor
    username: user
    password: pass
  containerPorts:
    postgresql: 5432

Подключение к брокеру сообщений RabbitMQ

Данная строчка строится из нескольких частей:

• amqp:// - Не меняем, служебная часть.

• user - Логин для подключения.

• : - Разделитель для пароля и логина.

• pass - Пароль для подключения

• @ - Разделитель для данных и хоста.

• auditor-rabbitmq - Либо имя сервиса в Kubernetes, либо внешний хост.

• : - Разделитель между хостом и портом.

• 5672 - Порт, на котором RabbitMQ "слушает" подключения.

• Значения по-умолчанию:

configs:
  secret:
    variables:
      AMQP_HOST_STRING: "amqp://user:pass@security-center-rabbitmq:5672" # auditor-rabbitmq - имя Service в Kubernetes или внешний хост

Чтобы поменять значения по-умолчанию(которые принимает именно RabbitMQ), необходимо изменить следующие поля:

rabbitmq:
  auth:
    username: user
    password: pass

Ingress

Ingress-контроллер - компонент Kubernetes, который управляет входящим трафиком для сервисов.

• ingress.host - Доменное имя Вашего Auditor.

• ingress.class - Класс контроллера в Вашем кластере.

• ingress.tls.enabled - Включение TLS для Вашего Auditor.

• ingress.tls.secretName - Имя Kubernetes секрета, в котором лежит Ваш сертификат. Если верхнее поле false, можно игнорировать данное поле.

Значения по-умолчанию:

ingress:
  enabled: true
  host: "security-center.example.com"
  class: nginx
  tls:
    enabled: true
    secretName: "" ## Имя секрета
  annotations:
  labels: {}

Другие настройки

Секреты

При необходимости использования внешних хранилищ секретов необходимо выключить создание секретов при помощи Helm-чарта:

configs:
  secret:
    create: false

Шаг 5: Развертывание приложения в кластер Kubernetes

В примере по умолчанию используется установленный ранее ingress controller "nginx" и PostgreSQL и RabbitMQ из Helm-чарта от Bitnami:

helm upgrade --install security-center securitycenter/securitycenter -n security-center --create-namespace -f ./values.yaml

Шаг 6: Создайте пользователя с привилегированными правами

Для создания пользователя с привилегированными правами выполните следующие команды:

kubectl get pods -n <namespace>
kubectl exec -it -n <namespace> <security-center-backend_pod> -c backend -- /bin/sh 
python3 manage.py createsuperuser --username admin

Этот пользователь и пароль позволяют выполнить вход в установленный Security Center

Следующий шаг: Запустите Security Center и добавьте лицензию

Шаг 1: Клонируйте репозиторий

Клонируйте репозиторий Security Center на Ваш сервер:

git clone https://gitlab.cybercodereview.ru/cybercodereview/security-center.git security-center

Шаг 2: Перейдите в корневой каталог

Перейдите в корневой каталог Security Center, выполнив следующую команду:

cd security-center/

Шаг 3: Переместите файлы из папки docker-compose

В корневом каталоге проекта Security Center выполните следующую команду:

mv docker-compose/* ./

Шаг 4: Настройте переменные окружения

В корневом каталоге проекта Security Center выполните следующую команду:

./set_vars.sh

Сценарий запрашивает значения для следующих переменных окружения, включая необязательные. Вы также можете принять значения по умолчанию для необязательных переменных, нажав Enter:

DB_NAME{default=postgres}
DB_USER{default=postgres}
DB_PASS{default=postgres}
DB_HOST{default=postgres}
DB_PORT{default=5432}
RABBITMQ_DEFAULT_USER{default=admin}
RABBITMQ_DEFAULT_PASS{default=mypass}
AMQP_HOST_STRING{default=amqp://admin:mypass@rabbitmq:5672/}
COOKIES_SECURE{default=True}
DOMAIN=http://localhost
IMAGE_VERSION=<актуальный тег>

• Переменная IMAGE_VERSION обязательно должна быть задана. Укажите версию приложения, например, 1.0.0, и скрипт установит последнюю актуальную версию. Актуальный тег Вы можете найти в репозитории.

• Переменная DOMAIN обязательно должна быть задана. Укажите домен, в котором будет доступен Security Center

• DB_NAME, DB_USER, DB_PASS, DB_HOST, DB_PORT необязательные переменные. Укажите переменные, необходимые для настройки базы данных, или используйте значения по умолчанию.

• Если брокер сообщений размещен на внешнем сервере, то переменная AMQP_HOST_STRING должна быть задана. Однако, если контейнер установлен локально, то все три переменные RABBITMQ_DEFAULT_USER , RABBITMQ_DEFAULT_PASS также должны быть заданы.

  Имя пользователя и пароль в переменных RABBITMQ_DEFAULT_PASS и RABBITMQ_DEFAULT_USER должны быть идентичны переменной AMQP_HOST_STRING.

• Переменная COOKIES_SECURE определяет флаг безопасности cookie. Она должна иметь значение True при использовании HTTPS.

Скрипт set_vars.sh создает файл .env с настроенными переменными окружения и генерирует пару JWT-ключей, которые используются для подписи JWT-ключей, а SECRET_KEY используется для генерации хэшей в Django.

НЕ ЗАПУСКАЙТЕ команду ./set_vars.sh дважды. Если вам нужно изменить значение переменной, сделайте это в файле .env.

Шаг 5: Запустите Security Center

Чтобы запустить Security Center, выполните следующую команду:

docker compose up -d

Шаг 6: Создайте учетную запись администратора

Чтобы создать учетную запись администратора, выполните следующую команду:

docker compose exec back python3 manage.py createsuperuser --username admin

Это имя пользователя и пароль позволят вам войти в установленный Security Center

или

Создайте пользователей с помощью панели администратора Django

Чтобы получить доступ к настройкам администратора, перейдите по URL-адресу <ваш-домен>.com/admin и войдите в систему, используя учетные данные суперпользователя, затем выберите Users на левой панели. Отсюда вы можете добавлять пользователей. Не забудьте назначить пользователям необходимые разрешения.

Следующий шаг: Запустите Security Center и добавьте лицензию