Подготовка сервера с ОС Astra Linux

Статья содержит порядок подготовки сервера с ОС Astra Linux Special Edition 1.7.3 для установки платформы и настройки узлов кластера.

Если на сервере уже установлена ОС Astra Linux, переустановите ОС и выполните её настройку по инструкциям из этой статьи.

Для корректной работы платформы выполняйте только те настройки, которые указаны в этой статье.

Установка ОС

При установке операционной системы:

1. Выберите ядро Generic 5.15.
2. Выберите режим защищённости "Орёл" или "Воронеж".
3. Выберите компоненты для установки:
   1. Средства виртуализации.
   2. Консольные утилиты.
   3. Средства удалённого подключения SSH.

4. На шаге "Дополнительные настройки ОС" убедитесь, что отключены опции:

   1. Замкнутая программная среда.
   2. Запрет установки бита исполнения.

   3. Запрет исполнения скриптов пользователя.

      

      Опция "Очистка освобождаемой внешней памяти" значительно увеличивает нагрузку на CPU и время выполнения некоторых операций. 

Действия после установки ОС

1. Перейдите в режим суперпользователя: 

   sudo su -

   BASH
2. 

   Пропустите этот пункт, если вы планируете использовать платформу в закрытом информационном контуре.

   В файле /etc/apt/sources.list оставьте раскомментированными строки: 

   deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free
   deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free
   deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free

   CODE

   Остальные строки закомментируйте знаком #. После комментирования файл должен иметь вид:
   

   # Astra Linux repository description https://wiki.astralinux.ru/x/0oLiC
   
   #deb cdrom:[OS Astra Linux 1.7.3 1.7_x86-64 DVD ]/ 1.7_x86-64 contrib main non-free
   deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free
   #deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-update/ 1.7_x86-64 main contrib non-free
   
   deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free
   deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free

   CODE

   
   

3. В файле /etc/network/interfaces настройте сетевую конфигурацию со статическим IP-адресом:
   

   Пример настройки

   auto lo
   iface lo inet loopback
   
   auto eth0
   iface eth0 inet static
       address   192.168.1.10
       netmask   255.255.255.0
       gateway   192.168.1.254
   

   CODE

4. Создайте файл /etc/resolv.conf и укажите в нём настройки DNS-серверов:

   Пример настройки

   nameserver 77.88.8.8
   nameserver 1.1.1.1
   options timeout:1
   options attempts:2

   CODE

5. Перезапустите сервис networking: 

   service networking restart

   BASH
6. 

   Пропустите этот пункт, если вы планируете использовать платформу в закрытом информационном контуре.

   Обновите репозитории с помощью утилиты astra-update.

7. На сервере для узла кластера:

    В режиме защищённости "Орёл"

   В режиме защищённости "Орёл":

   1. Задайте пароль для пользователя root: 

      passwd

      BASH

      или добавьте в файл /root/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ. Если вы используете подключение по SSH-ключу, установите следующие права для файла /root/.ssh/authorized_keys:

      chmod 600 ~/.ssh/authorized_keys

      BASH

   2. Разрешите доступ к серверу по SSH. Для этого в файле /etc/ssh/sshd_config добавьте строку:

      • для аутентификации по паролю:

        PermitRootLogin yes

        CODE

      • для аутентификации по SSH-ключу: 

        PermitRootLogin prohibit-password

        CODE

   3. Перезапустите сервис sshd: 

      service sshd restart

      BASH
    В режиме защищённости "Воронеж"

   В режиме защищённости "Воронеж":

   1. Убедитесь, что службы astra-sudo-control, astra-nochmodx-lock, astra-interpreters-lock отключены: 

      astra-sudo-control disable
      

      BASH

      astra-nochmodx-lock disable
      

      BASH

      astra-interpreters-lock disable

      BASH

   2. Создайте директорию для хранения ВМ (например, /vm) и установите для неё мандатные атрибуты: 

      sudo mkdir /vm && sudo pdpl-file 0:63:0:ccnr /vm

      BASH
       Пояснения к команде

      /vm — имя директории

   3. В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя: 

      %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL
      %sudo ALL=(ALL:ALL) NOPASSWD: ALL

      CODE

   4. Настройте права пользователя для подключения к узлу кластера: 

      usermod -G astra-admin -a <username>

      BASH

      pdpl-user -i 63 <username>

      BASH
       Пояснения к команде

      <username> — имя пользователя для подключения

   5. Для подключения по SSH-ключу:
      1. Добавьте в файл ~/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ. 

      2. Установите права для файла ~/.ssh/authorized_keys:

         chmod 600 ~/.ssh/authorized_keys

         BASH

      3. В файле /etc/ssh/sshd_config добавьте строку

         PermitRootLogin prohibit-password

         CODE

   6. Перезапустите сервис sshd: 

      service sshd restart

      BASH