Подготовка сервера с ОС Astra Linux
Статья содержит порядок подготовки сервера с ОС Astra Linux Special Edition 1.7.3, 1.7.4 для установки платформы и настройки узлов кластера.
Если на сервере уже установлена ОС Astra Linux, переустановите ОС и выполните её настройку по инструкциям из этой статьи.
Для корректной работы платформы выполняйте только те настройки, которые указаны в этой статье.
Установка ОС
При установке операционной системы:
- Выберите ядро Generic 5.15.
- Выберите режим защищённости "Орёл" или "Воронеж".
- Выберите компоненты для установки:
- Обязательно:
- Средства виртуализации.
- Консольные утилиты.
Средства удалённого подключения SSH.
- Опционально:
Графический интерфейс Fly — если вы планируете работать с ОС через графический интерфейс.
Средства для работы в интернет — если вы планируете использовать интернет-приложения.
- Обязательно:
На шаге "Дополнительные настройки ОС" убедитесь, что отключены опции:
- Замкнутая программная среда.
- Запрет установки бита исполнения.
Запрет исполнения скриптов пользователя.
Опция "Очистка освобождаемой внешней памяти" значительно увеличивает нагрузку на CPU и время выполнения некоторых операций.
Действия после установки ОС
Перейдите в режим суперпользователя:
sudo su -
BASHНастройте список источников в файле /etc/apt/sources.list:
для установки в закрытом контуре в файле должны быть закомментированы все строки, кроме:
deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free
CODEдля установки в открытом контуре в файле должны быть раскомментированы все строки, кроме:
deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free
CODE
В файле /etc/network/interfaces настройте сетевую конфигурацию со статическим IP-адресом:
Пример настройки
auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.1.10 netmask 255.255.255.0 gateway 192.168.1.254
CODEСоздайте файл /etc/resolv.conf и укажите в нём настройки DNS-серверов:
Пример настройки
nameserver 77.88.8.8 nameserver 1.1.1.1 options timeout:1 options attempts:2
CODEПерезапустите сервис networking:
service networking restart
BASHНа сервере для узла кластера:
В режиме защищённости "Орёл"В режиме защищённости "Орёл":
Задайте пароль для пользователя root:
passwd
BASHили добавьте в файл /root/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ. Если вы используете подключение по SSH-ключу, установите следующие права для файла /root/.ssh/authorized_keys:
chmod 600 ~/.ssh/authorized_keys
BASHРазрешите доступ к серверу по SSH. Для этого в файле /etc/ssh/sshd_config добавьте строку:
для аутентификации по паролю:
PermitRootLogin yes
CODEдля аутентификации по SSH-ключу:
PermitRootLogin prohibit-password
CODE
Перезапустите сервис sshd:
service sshd restart
BASH
В режиме защищённости "Воронеж"В режиме защищённости "Воронеж":
Убедитесь, что службы astra-sudo-control, astra-nochmodx-lock, astra-interpreters-lock отключены:
astra-sudo-control disable
BASHastra-nochmodx-lock disable
BASHastra-interpreters-lock disable
BASHСоздайте директорию для хранения ВМ (например, /vm) и установите для неё мандатные атрибуты:
sudo mkdir /vm && sudo pdpl-file 0:63:0:ccnr /vm
BASHПояснения к команде/vm — имя директории
Если вы планируете создавать виртуальные машины с ОС Windows, установите мандатные атрибуты для директории /tmp:
sudo pdpl-file 0:63:0:ccnr /tmp
BASHВ файле /etc/sudoers разрешите выполнение команд от имени суперпользователя:
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL %sudo ALL=(ALL:ALL) NOPASSWD: ALL
CODEНастройте права пользователя для подключения к узлу кластера:
usermod -G astra-admin -a <username>
BASHpdpl-user -i 63 <username>
BASHПояснения к команде<username> — имя пользователя для подключения
- Для подключения по SSH-ключу:
- Добавьте в файл /<username>/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ.
Установите права для файла /<username>/.ssh/authorized_keys:
chmod 600 /<username>/.ssh/authorized_keys
BASHПояснения к команде<username> — имя пользователя для подключения
В файле /etc/ssh/sshd_config добавьте строку
PermitRootLogin prohibit-password
CODE
Перезапустите сервис sshd:
service sshd restart
BASH