Статья содержит порядок подготовки сервера с ОС Astra Linux Special Edition 1.7.3, 1.7.4 для установки платформы и настройки узлов кластера.

Если на сервере уже установлена ОС Astra Linux, переустановите ОС и выполните её настройку по инструкциям из этой статьи.

Для корректной работы платформы выполняйте только те настройки, которые указаны в этой статье.

Установка ОС


При установке операционной системы:

  1. Выберите ядро Generic 5.15.
  2. Выберите режим защищённости "Орёл" или "Воронеж".
  3. Выберите компоненты для установки:
    1. Обязательно:
      1. Средства виртуализации.
      2. Консольные утилиты.
      3. Средства удалённого подключения SSH.

    2. Опционально:
      1. Графический интерфейс Fly — если вы планируете работать с ОС через графический интерфейс.

      2. Средства для работы в интернет — если вы планируете использовать интернет-приложения.

  4. На шаге "Дополнительные настройки ОС" убедитесь, что отключены опции:

    1. Замкнутая программная среда.
    2. Запрет установки бита исполнения.
    3. Запрет исполнения скриптов пользователя.

      Опция "Очистка освобождаемой внешней памяти" значительно увеличивает нагрузку на CPU и время выполнения некоторых операций. 

Действия после установки ОС


  1. Перейдите в режим суперпользователя: 

    sudo su -
    BASH
  2. Настройте список источников в файле /etc/apt/sources.list:

    • для установки в закрытом контуре в файле должны быть закомментированы все строки, кроме: 

      deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free
      CODE
    • для установки в открытом контуре в файле должны быть раскомментированы все строки, кроме: 

      deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free
      CODE
  3. В файле /etc/network/interfaces настройте сетевую конфигурацию со статическим IP-адресом:

    Пример настройки

    auto lo
    iface lo inet loopback
    
    auto eth0
    iface eth0 inet static
        address   192.168.1.10
        netmask   255.255.255.0
        gateway   192.168.1.254
    
    CODE
  4. Создайте файл /etc/resolv.conf и укажите в нём настройки DNS-серверов:

    Пример настройки

    nameserver 77.88.8.8
    nameserver 1.1.1.1
    options timeout:1
    options attempts:2
    CODE
  5. Перезапустите сервис networking: 

    service networking restart
    BASH
  6. На сервере для узла кластера:

    В режиме защищённости "Орёл":

    1. Задайте пароль для пользователя root: 

      passwd
      BASH

      или добавьте в файл /root/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: УзлыПодключить узел → кнопка Хочу использовать публичный ssh-ключ. Если вы используете подключение по SSH-ключу, установите следующие права для файла /root/.ssh/authorized_keys:

      chmod 600 ~/.ssh/authorized_keys
      BASH
    2. Разрешите доступ к серверу по SSH. Для этого в файле /etc/ssh/sshd_config добавьте строку:

      • для аутентификации по паролю:

        PermitRootLogin yes
        CODE
      • для аутентификации по SSH-ключу: 

        PermitRootLogin prohibit-password
        CODE
    3. Перезапустите сервис sshd: 

      service sshd restart
      BASH

    В режиме защищённости "Воронеж":

    1. Убедитесь, что службы astra-sudo-control, astra-nochmodx-lock, astra-interpreters-lock отключены: 

      astra-sudo-control disable
      
      BASH
      astra-nochmodx-lock disable
      
      BASH
      astra-interpreters-lock disable
      BASH
    2. Создайте директорию для хранения ВМ (например, /vm) и установите для неё мандатные атрибуты

      sudo mkdir /vm && sudo pdpl-file 0:63:0:ccnr /vm
      BASH

      /vm — имя директории

    3. Если вы планируете создавать виртуальные машины с ОС Windows, установите мандатные атрибуты для директории /tmp

      sudo pdpl-file 0:63:0:ccnr /tmp
      BASH
    4. В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя: 

      %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL
      %sudo ALL=(ALL:ALL) NOPASSWD: ALL
      CODE
    5. Настройте права пользователя для подключения к узлу кластера: 

      usermod -G astra-admin -a <username>
      BASH
      pdpl-user -i 63 <username>
      BASH

      <username> — имя пользователя для подключения

    6. Для подключения по SSH-ключу:
      1. Добавьте в файл /<username>/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: УзлыПодключить узел → кнопка Хочу использовать публичный ssh-ключ
      2. Установите права для файла /<username>/.ssh/authorized_keys:

        chmod 600 /<username>/.ssh/authorized_keys
        BASH

        <username> — имя пользователя для подключения

      3. В файле /etc/ssh/sshd_config добавьте строку

        PermitRootLogin prohibit-password
        CODE
    7. Перезапустите сервис sshd: 

      service sshd restart
      BASH