Подготовка сервера с ОС Astra Linux
Статья содержит порядок подготовки сервера с ОС Astra Linux Special Edition 1.7.3 для установки платформы и настройки узлов кластера.
Если на сервере уже установлена ОС Astra Linux, переустановите ОС и выполните её настройку по инструкциям из этой статьи.
Для корректной работы платформы выполняйте только те настройки, которые указаны в этой статье.
Установка ОС
При установке операционной системы:
- Выберите ядро Generic 5.15.
- Выберите режим защищённости "Орёл" или "Воронеж".
- Выберите компоненты для установки:
- Средства виртуализации.
- Консольные утилиты.
- Средства удалённого подключения SSH.
На шаге "Дополнительные настройки ОС" убедитесь, что отключены опции:
- Замкнутая программная среда.
- Запрет установки бита исполнения.
Запрет исполнения скриптов пользователя.
Опция "Очистка освобождаемой внешней памяти" значительно увеличивает нагрузку на CPU и время выполнения некоторых операций.
Действия после установки ОС
Перейдите в режим суперпользователя:
sudo su -
BASH-
Пропустите этот пункт, если вы планируете использовать платформу в закрытом информационном контуре.
В файле /etc/apt/sources.list оставьте раскомментированными строки:
deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free
CODEОстальные строки закомментируйте знаком #. После комментирования файл должен иметь вид:
# Astra Linux repository description https://wiki.astralinux.ru/x/0oLiC #deb cdrom:[OS Astra Linux 1.7.3 1.7_x86-64 DVD ]/ 1.7_x86-64 contrib main non-free deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free #deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-update/ 1.7_x86-64 main contrib non-free deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free
CODE В файле /etc/network/interfaces настройте сетевую конфигурацию со статическим IP-адресом:
Пример настройки
auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.1.10 netmask 255.255.255.0 gateway 192.168.1.254
CODEСоздайте файл /etc/resolv.conf и укажите в нём настройки DNS-серверов:
Пример настройки
nameserver 77.88.8.8 nameserver 1.1.1.1 options timeout:1 options attempts:2
CODEПерезапустите сервис networking:
service networking restart
BASH-
Пропустите этот пункт, если вы планируете использовать платформу в закрытом информационном контуре.
Обновите репозитории с помощью утилиты astra-update.
На сервере для узла кластера:
В режиме защищённости "Орёл"В режиме защищённости "Орёл":
Задайте пароль для пользователя root:
passwd
BASHили добавьте в файл /root/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ. Если вы используете подключение по SSH-ключу, установите следующие права для файла /root/.ssh/authorized_keys:
chmod 600 ~/.ssh/authorized_keys
BASHРазрешите доступ к серверу по SSH. Для этого в файле /etc/ssh/sshd_config добавьте строку:
для аутентификации по паролю:
PermitRootLogin yes
CODEдля аутентификации по SSH-ключу:
PermitRootLogin prohibit-password
CODE
Перезапустите сервис sshd:
service sshd restart
BASH
В режиме защищённости "Воронеж"В режиме защищённости "Воронеж":
Убедитесь, что службы astra-sudo-control, astra-nochmodx-lock, astra-interpreters-lock отключены:
astra-sudo-control disable
BASHastra-nochmodx-lock disable
BASHastra-interpreters-lock disable
BASHСоздайте директорию для хранения ВМ (например, /vm) и установите для неё мандатные атрибуты:
sudo mkdir /vm && sudo pdpl-file 0:63:0:ccnr /vm
BASHПояснения к команде/vm — имя директории
В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя:
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL %sudo ALL=(ALL:ALL) NOPASSWD: ALL
CODEНастройте права пользователя для подключения к узлу кластера:
usermod -G astra-admin -a <username>
BASHpdpl-user -i 63 <username>
BASHПояснения к команде<username> — имя пользователя для подключения
- Для подключения по SSH-ключу:
- Добавьте в файл ~/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ.
Установите права для файла ~/.ssh/authorized_keys:
chmod 600 ~/.ssh/authorized_keys
BASHВ файле /etc/ssh/sshd_config добавьте строку
PermitRootLogin prohibit-password
CODE
Перезапустите сервис sshd:
service sshd restart
BASH