Описание проекта
Проект EDM (Eltex Distribution Manager) реализует механизм передачи лицензируемого контента на устройства производства Элтекс. Управление системой осуществляется при помощи CLI, который представляет удобные и точные инструменты для настройки системы и распределения контента на устройства ESR. Данное руководство содержит описание интерфейса пользователя и основных приемов работы с ним.
Сервис работает на основании ключа лицензии полученного от комерческого отдела.
Функции выполняемые EDM:
- Дистрибьюция контента в частности правил, предоставляемых Лаборатории Касперского на устройства ESR при помощи https в соответсвии с лицензией.
- Распределение на устройства ESR лицензий IPS-EDM для функционирования IPS сервисов на маршрутизаторах.
Поддержка администрирования на основе ролей пользователей
Сервером EDM могут управлять несколько пользователей, при этом у каждого из этих пользователей будет доступ только до категорий разрешенной данной роли в соответсвии с назначенными привилегиями.
Архитектура проекта
Проект представляет из себя распределнную систему, производящую дистрибьюцию контента до конечных пользователей. EDM делится на несколько составляющих - EDM Loader/EDM Server/EDM CLI, база данных и сервер лицензирования.
Задача сервера лицензирования (EDM Root) - создание лицензий для устройств ESR и последующяя их дистрибьюция.
Сервер (EDM Server) - представляет из себя систему которая регистрирует запросы от устройств ESR, регистрирует их в своей базе данных и выполняет распространение контента и лицензий полученных от лицензирующего сервера в соответствии со своей лицензией.
Загрузчик (EDM Loader) - осуществляет получение правил от свободных источников, а также получение правил и синхронизацию данных лицензии и списка устройств от лицензирующего сервера.
Интерфейс командной строки (EDM CLI) - необходим для работы с сервером.
База данных - необходима для хранения данных EDM.
Лицензирование
Лицензирование устройств происходит при подключении устройства к серверу при помощи указания адреса и порта сервера в настройках устройства. Устройства могут сертифицироваться при помощи групповой или индивидуальной лицензии. Групповая лицензия представляет из себя лицензию на определенное количество устройств в которую могут входить устройства разных моделей. В качестве параметров для сертифицирования используются серийные номера и мак адреса устройств. На сервере можно удалить определенное устройство из лицензии по его маку или серийному номеру.
Виды лицензий
Устройство ESR может обслуживаться в EDM по индивидуальной или групповой лицензии.
Индивидуальная лицензия
Индивидуальная лицензия может быть связана с единственным устройством, параметры которого определяются в момент регистрации лицензии.
Обслуживание устройств по индивидуальной лицензии осуществляется на стороне лицензирующего сервера EDM.
Групповая лицензия
Групповая лицензия не привязывается к конкретным устройствам. В рамках групповой лицензии описываются поддерживаемые модели устройств и лимиты на их количество.
Обслуживание устройств по групповой лицензии осуществляется на стороне сервера EDM. Для того, чтобы устройство могло обслуживаться в пользовательском сервере EDM Server, оно должно получить сертификат от лицензирующего сервера EDM Root, который таким образом ведёт учёт всех устройств, которые обслуживаются в рамках групповой лицензии.
IPS
EDM используется для распространения правил от Лаборатории Касперского, правила доступны по условиям лицензии и распределяются на каждое из подключенных устройств валидных для лицензии.
Требования и зависимости
Платформа: Ubuntu 16 / Ubuntu 18
Оперативная память: минимум 2Гб, рекомендуется 4Гб
Зависимости: openjdk-8-jdk, mysql-server, mysql-client
Установка
Установка при помощи скрипта хелпера
Для установки необходимо будет использовать скрипт хелпер eltex-edm-helper-0.7.sh, который можно получить можно получить у коммерческого отдела .
При установке будет возможность установить ключ лицензии при помощи флага --key=<key>
sudo ./eltex-edm-helper-0.7.sh --key=keyfromcommandline
Если необходимо изменить ключ лицензии, или ключ не был установлен при первичной установке, сделать это можно в /etc/edmi/system.xml сменив значение в поле licenseKey.
<entry key="licenseKey">keyfromcommandline</entry>
Расположение файлов настроек указано в разделе Расположение файлов настроек.
Расположение лог файлов указано в разделе Расположение файлов логов.
Установка из репозитория
Один из вариантов установки - установка при помощи репозитория Eltex.
Для добавления репозитория необходимо выполнить следующие действия:
обновить репозиторий sudo apt-get update || true sudo apt-get install gnupg-curl добавить репозиторий Eltex в список источников apt sudo echo "deb [arch=amd64] http://archive.eltex-co.ru/edm edm-0.7-xenial main" > /etc/apt/sources.list.d/eltex.list sudo install wget# добавить GPG ключ sudo wget -O - http://archive.eltex-co.ru/edm/repo.gpg.key | apt-key add - обновить репозиторий sudo apt-get update || true
Для установки необходимых зависимостей mysql-server, mysql-client, openjdk-8-jdk для EDM необходимо выполнить следующие действия:
sudo apt install -y mysql-server mysql-client openjdk-8-jdk
После чего можно установить компоненты EDM - edmi-server, edmi-loader, edmi-cli:
sudo apt install edmi-server edmi-loader edmi-cli
После установки вход в CLI осуществляется через:
sudo edmi-cli
Расположение файлов настроек указано в разделе Расположение файлов настроек.
Расположение лог файлов указано в разделе Расположение файлов логов.
Установка при помощи деб-пакетов
Установка EDM
Получение файлов для установки
Все файлы необходимые для установки из deb пакетов можно получить у коммерческого отдела.
Необходимо будет скачать файлы с названиями edmi-server, edmi-loader и edmi-cli.
После этого можно приступать к установке самих пакетов EDM - edmi-server, edmi-loader и edmi-cli.
Установка EDM Server
EDM Server является основным сервером который выполняет все операции на хосте.
Для начала его установки перейдите в папку с файлами полученными от комерческого отдела и выполните следующую команду:
sudo apt install ./edmi-server*
При установке будут задаваться следующие вопросы и примеры ответов приведены в таблице 1:
Таблица 1 -
Вопрос | Пояснение | Значение по умолчанию | Рекомендуемое значение при установке локальной БД |
---|---|---|---|
EDM DB Setup Установка БД EDM | Установить сервер EDM без создания локальной БД и настроить его на использование удаленной базы данных с доступом по сети. Если предполагается работа с удаленной базой данных, отвечаем YES и указываем адрес этой локальной базы, и в следующем вопросе вводим ее адрес. | No Нет | No Нет |
Input EDM user data Ввод данных пользователя EDM | Ввести пароль пользователя 'edm' с помощью которого сервер EDM будет осуществлять соединение с БД. Пароль пользователя должен соответствовать требованиям MySQL. По умолчанию это:
Текущие требования к паролю можно узнать в MySQL запросом: SHOW VARIABLES LIKE 'validate_password%'; | EDMp@ss1 | |
Allow remote connections to EDM DB? Разрешить удаленное подключение к БД EDM? | Настроить возможность удаленного доступа к БД EDM от имени пользователя 'edm'. | Yes Да | No Нет |
Add open rules sources to database? Добавить открытые источники правил в БД? | Добавить открытые источники правил suricata для загрузки. | Yes Да | Yes Да |
EDM config setup Установка конфигурации EDM | Ввести ключ лицензии EDM. | ||
EDM config setup Установка конфигурации EDM | Ввести адрес сервера Root EDM. | https://edm.eltex-co.ru:8098 | https://edm.eltex-co.ru:8098 |
Установка EDM Loader
EDM Loader необходим для общения с сервером EDM Root и после первоначальной установки через него будут получены правила разрешенные лицензией.
sudo apt install ./edmi-loader*
При установке будут задаваться следующие вопросы и примеры ответов приведены в таблице 2:
Таблица 2 -
Вопрос | Пояснение | Значение по умолчанию | Рекомендуемое значение при установке локальной БД |
---|---|---|---|
EDM DB Setup Установка БД EDM | Установить сервер EDM без создания локальной БД и настроить его на использование удаленной базы данных с доступом по сети. | No Нет | No Нет |
Input MySQL administrator data Ввод данных администратора БД MySQL | Ввести имя администратора MySQL от имени которого будет проводиться создание локальной БД EDM. Требуется при входе в MySQL при помощи логина и пароля. При использовании аутентификации с помощью сокета (auth_socket) вопрос задан не будет. | root | |
Input MySQL administrator data Ввод данных администратора БД MySQL | Ввести пароль администратора MySQL. Требуется при входе в MySQL при помощи логина и пароля. При использовании аутентификации с помощью сокета (auth_socket) вопрос задан не будет. | ||
Found filled EDM database! What to do with existing DB? Обнаружена заполненная база данных EDM! Что сделать с существующей БД? | Выбрать режим установки БД. Так как база данных уже была заполнена при установке пакета edmi-loader, предлагается выбрать из двух вариантов установки:
| Cancel Отменить | Update DB Обновить БД |
Установка EDM CLI
EDM CLI необходим для работы с данными EDM.
sudo apt install ./edmi-cli*
После этого если при установке проблем не возникло, то можно начинать работу с сервисом.
Расположение файлов настроек
EDM Loader и EDM Server имеют общие файлы настроек, которые расположены по пути:
/etc/edmi
Файлы с настройками EDM CLI расположены по пути:
/etc/edmi-cli
Все настройки в подробностях описаны ниже в таблице 3.
Таблица 3 - Описание настроек.
rootURL | Адрес сервера Root EDM. | Синхронизация данных лицензии и устройств Issue EDM, запрос доступных файлов правил от лицензируемых вендоров. |
---|---|---|
licenseKey | Ключ лицензии Issue EDM. | Идентификация Issue EDM на стороне Root EDM. А также доступ к данным лицензии в БД. |
loaderHostProtectMode | Режим защиты хоста. | Защита от злонамеренных обращений с ключом лицензии. |
loaderHostTitle | Имя хоста на котором установлен Issue EDM Loader. | Более удобная идентификация хостов. |
serverHostTitle | Имя хоста на котором установлен Issue EDM Server. | |
inactiveHostsKeepDays | Количество дней существования устаревших хостов. | Удаление информации об устаревших хостах из БД, по истечению определенного времени. |
serverHost | Адрес интерфейса сервера. | Указание данных для установления соединения с сервером. |
serverPort | Порт сервера. | |
threadLimit | Максимальное количество одновременно обрабатываемых запросов. | Ограничение нагрузки на сервер. |
queueLimit | Максимальное количество запросов в очереди на обработку. | |
deviceMaxTimeout | Время, по истечению которого устройство перестает считаться активным, в минутах. | Удаление сессий с неактивными устройствами, с которыми была потеряна связь. |
deviceWaitRequestTimeout | Время, в течение которого от устройства ожидаются дальнейшие запросы, в минутах. | |
deviceWaitRootTimeout | Время, в течение которого ожидается ответ от сервера Root EDM. | |
dosFilterMaxRequestsPerSec | Максимально возможное количество запросов на сервер в секунду. | Защита от DoS атак. |
dosFilterDelayMs | Время, на которое откладывается выполнение запросов, после превышения установленного лимита. | |
securityCheckPeriodHours | Длительность интервала фиксации подозрительных событий. | Контроль за подозрительной активностью устройств. |
sourceUnknownRequestLimit | Лимит на количество запросов с неизвестными параметрами с одного IP-адреса. | |
badAuthLimit | Лимит на количество неуспешных аутентификаций по одной лицензии. | |
userLoginTimeout | Время, по истечению которого будет произведено принудительное завершение сессии с CLI, в минутах | Удаление сессии CLI для периодической актуализации данных пользователя. |
userInactiveTimeout | Максимально возможное время бездействия пользователя CLI до завершения сессии, в минутах | |
commandsExecuteTimeoutMinutes | Время ожидания выполнения команды загрузчиком или сервером EDM. | Исполнение команд на стороне EDM Loader/Server. |
Расположение файлов логов
Расположение файлов логов приведено в таблице 4.
Таблица 4 - Расположение файлов логов.
Местоположение лог файла | Сервис к которому относится этот файл |
---|---|
/var/log/edmi/server | Файлы логов EDM Server |
/var/log/edmi/loader | Файлы логов EDM Loader |
/var/log/edmi-cli | Файлы логов EDM CLI |
Назначение файлов логов описано в таблице 5.
Таблица 5 - Назначение файлов логов.
Имя файла | Назначение |
---|---|
db.log | Лог файл взаимодействия сервиса EDM и базы данных |
debug.log | Лог файл EDM необходимый для дебага |
engine.log | Лог файл внутреннего функционал сервиса EDM |
hosts.log | Лог файл взаимодействия хостов обращающихся к EDM |
kernel.log | Лог файл серверного ядра сервиса EDM |
networking.log | Лог файл сетевого взаимодействия сервиса EDM |
security.log | Лог файл содержащий информацию об угрозах безопасности EDM |
users.log | Лог файл действий пользователей EDM |
Мониторинг состояния сервиса
При необходимости проверить состояние EDM Loader, необходимо использовать команду:
sudo service edmi-loader status
При необходимости проверить состояние EDM Server:
sudo service edmi-server status
Остановка и перзапуск сервиса
При необходимости перезапустить EDM Loader вручную, необходимо использовать команду:
sudo service edmi-loader restart
При необходимости перезапустить EDM Server:
sudo service edmi-server restart
Остановка EDM Server:
sudo systemctl stop edmi-server
Остановка EDM Loader:
sudo systemctl stop edmi-loader
Удаление EDM
Для удаления данных сервера EDM:
sudo dpkg -P edmi-server edmi-loader edmi-cli
Определить оставшиеся компоненты EDM:
sudo dpkg -l|grep edmi sudo dpkg -P <service_name>
Анализ логов через journalctl
Если наблюдается, что EDM Loader работает не корректно, наличие ошибок можно проверить путем анализа файлов логов.
Также есть возможность проверить последние сообщения полученные от сервиса edmi-loader с помощью команды:
sudo journalctl -u edmi-loader --no-pager | tail -n 100
Если ошибку не удается найти в последних сообщениях сервиса, постоянное наблюдение за работой EDM Loader можно осуществлять путем просмотра логируемых сообщений с помощью команды:
sudo journalctl -u edmi-loader -f
Для EDM Server:
sudo journalctl -u edmi-server--no-pager | tail -n 100 sudo journalctl -u edmi-server -f
Установка при помощи docker-контейнеров
Установка docker
Наиболее простой и быстрый способ установки — воспользоваться скриптом с официального сайта docker.com:
sudo curl -fsSL https://get.docker.com -o get-docker.sh sudo sh get-docker.sh
Добавление непривилегированного пользователя в группу docker
Это позволит работать с docker без использования sudo:
sudo usermod -aG docker $(whoami)
После этого необходимо повторно авторизоваться в системе.
Установка docker-compose
Docker-compose — отдельный проект от docker, поэтому для получения свежей версии его нужно скачать с github:
sudo curl -L "https://github.com/docker/compose/releases/download/1.25.4/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
Получение файлов необходимых для запуска
Файлы необходимые для запуска докер-контейнера - docker-compose.yml, docker-compose-cli.yml, .env можно получить у коммерческого отдела.
Запуск докер контейнера
Разместить docker-compose.yml, docker-compose-cli.yml, .env в пределах одной папки, открыть файл .env и установить желаемые значения для пароля пользователя edm в базе данных (при локальной установке пользователя edm можно не создавать он будет создан автоматически, но пароль для этого пользователя указать требуется) EDM_DB_PASSWORD и EDM_LICENSE_KEY - ключ лицензии полученный от комерческого отдела.
Для запуска системы необходимо выполнить для запуска в отделенном режим:
docker-compose up -d
Либо же можно оставить консоль прикрепленной к этим сервисам , при этом логи будут выводиться в эту консоль:
docker-compose up
Остановка, удаление и мониторинг докер контейнеров
Остановка EDM Server
Для остановки работы EDM Server используется команда:
sudo docker-compose down
Удаление EDM Server
Для полного удаления данных EDM необходимо:
- Перейти в директорию, откуда был запущен EDM.
Выполнить команду для удаления контейнеров и образов EDM:
docker-compose down --rmi all
Выполнить команду для удаления контейнеров и образов EDM CLI:
docker-compose -f docker-compose-cli.yml down --rmi all
Удалить директории с данными EDM командой:
sudo rm -rf config/ db/ log/ rules/
Полная переустановка EDM
При обновлении EDM до новой версии, обычно необходимо лишь обновить образы и контейнеры, используемые в файлах docker-compose.yml и docker-compose-cli.yml командами:
sudo docker-compose down -v sudo docker images --format "{{.Repository}}:{{.Tag}}" | grep :0.7 | xargs -L1 docker pull
Однако при возникновении ошибок возможна полная переустановка всех компонентов докера EDM. Для этого необходимо:
Удалить контейнеры и образы EDM:
sudo docker container prune sudo docker image prune sudo docker volume prune
Определить оставшиеся компоненты EDM:
sudo docker container ls -a sudo docker images sudo docker volume ls
Удалить необходимые компоненты EDM, остановить и удалить контейнеры, образы и тома:
sudo docker container stop <ID контейнера> sudo docker container rm <ID контейнера> sudo docker image rm -f <ID образа> sudo docker volume rm <ID тома>
Просмотр файлов логов
Логируемые EDM сообщения можно найти и просмотреть с помощью локальных файлов, из директории, откуда был запущен EDM.
Относительный путь | Описание |
---|---|
./log/edmi | Директория хранения логов EDM Server/Loader |
./log/edmi-cli | Директория хранения логов командной строки EDM CLI |
Запуск EDM CLI для взаимодействия с EDM Server
Для взаимодействия с сервером нужно использовать EDM CLI который представляет из себя интерфейс командной строки c командами описанными ниже.
Для включения EDM CLI необходимо выполнить следующие команды:
Для деб-пакетов:
sudo edmi-cli
Для докер контейнеров:
sudo docker-compose -f docker-compose-cli.yml run --rm edmi-cli
При первом входе в CLI, требуется сменить пароль для пользователя admin с правами администратора. На пароль накладываются следующие ограничения:
- длина не менее 8 символов
- может содержать большие и маленькие буквы английского алфавита
- может содержать цифры
- может содержать следующие спецсимволы: !@#$%+-*/;:,._=|^?{}[]()~
После этого пользователь попадает в интерфес командной строки. У администратора есть следующие возможности представленные в таблице 6:
Таблица 6 - Список команд, доступный из корневого меню.
Команда | Параметры | Действие | Разрешения |
---|---|---|---|
help | - | Показывает список доступных команд для текущего раздела и их параметры. | |
main | - | Возвращает к корневому (начальному) разделу CLI. | |
menu | - | Показывает доступные разделы CLI и выделить текущий выбранный раздел. | |
changepass | - | Изменяет пароль текущего пользователя CLI. | |
exit | - | Выход из CLI. | |
ips | - | Вход в раздел IPS для управления вендорами и категориями правил | |
license | - | Вход в раздел LICENSE | |
users | - | Вход в раздел USERS для управления пользователями |
Раздел users
Для перехода в этот раздел необходимо выполнить команду "users".
В этой категории пользователь может, просматривать существующих пользователей и если у него хватает привилегий то изменять учетные записи других пользователей. Все возможные команды для управления пользователями приведены в таблице 7.
Таблица 7 - Команды CLI, для управления пользователями.
Команда | Параметры | Действие | Разрешения |
---|---|---|---|
show user | --login <user login> | Показывает данные о пользователе с указанным логином | users-view |
show users | [--mode valid|blocked|all] (all) [--sort login|name|surname|register|status] (login) [--order acs|desc] (asc) [--limit <limit count>] (10) [–skip <skip count>] (0) | Показывает постранично список пользователей с заданными параметрами выборки, сортировки и ограничения по количеству пользователей на страницу | users-view |
add | --login <user login> --role watcher|manager|administrator [--name <user name>] (null) [--surname <user surname>] (null) | Создает нового пользователя | users-manage |
edit | [--login <user login>] (null) [--role watcher|manager|administrator] (null) [--name <user name>] (null) [--surname <user surname>] (null) [--status initialize|valid|suspect|blocked] (null) [--info <status info>] (null) [--expiry <status expiry date>] (null) | Изменяет данные пользователя по указанному логину. Если логин не указан, изменяются данные текущего пользователя CLI. При изменении статуса требуется указать причину смены в параметре info | users-manage |
set password | --login <user login> | Устанавливает новый пароль для пользователя с указанным логином | users-manage |
delete | --login <user login> | Удаляет информацию о пользователе с указанным логином | users-manage |
При создании пользователей возможны следующие варианты пользовательских ролей и их привелегий что приведены в таблице 8.
Таблица 8 - Описание ролей.
Роль | Описание | Разрешения |
---|---|---|
watcher | Оператор — только просмотр информации | license-view ips-view users-view hosts-view |
manager | Менеджер — полное управление EDM | license-view license-manage ips-view ips-manage users-view hosts-view hosts-manage |
admin | Администратор — полное управление EDM + управление пользователями | license-view license-manage ips-view ips-manage users-view users-manage hosts-view hosts-manage |
Статусы пользователей приведены в таблице 9:
Таблица 9 - статусы пользователей
Наименование | Описание |
---|---|
initialize | Пользователь инициализируется, обязательна смена пароля после авторизации, без изменения пароля любая активность запрещена. |
valid | Валидный пользователь. |
suspect | Зафиксирована подозрительная активность, желательно изменение пароля. |
blocked | Пользователь заблокирован. |
Также для любого пользователя из любого места в CLI доступна команда changepass позволяющая сменить собственный пароль пользователя.
Раздел iprules
Для перехода в этот раздел необходимо ввести команду "iprules". Все команды для этого раздела представлены в таблице 10.
Таблица 10 - Описание команд раздела iprules.
Команда | Параметры | Действие | Разрешения |
---|---|---|---|
show vendors | Показывает список вендоров | ips-view | |
load rules | [--open true|false] (false) | Инициирует немедленный запрос правил | ips-manage |
show files | --vendor <vendor name> | Показывает список файлов для вендора | ips-view |
add vendor | --vendor <vendor name> --url <URL to rules> [--cert <path to certifitace>] (null) | Добавляет информацию о вендоре | ips-manage |
add file | --vendor <vendor name> --file <file name> [--description <description>] (null) | Добавляет информацию о файле для вендора | ips-manage |
edit vendor | --vendor <vendor name> [--url <URL to rules>] (null) [--cert <path to certifitace>] (null) | Редактирует информацию о вендоре | ips-manage |
edit file | --vendor <vendor name> --file <file name> --description <description> | Редактирует информацию о файле | ips-manage |
delete vendor | --vendor <vendor name> | Удаляет данные о вендоре | ips-manage |
delete files | --vendor <vendor name> | Удаляет информацию о всех файлах вендора | ips-manage |
delete file | --vendor <vendor name> --file <file name> | Удаляет информацию о файле | ips-manage |
Раздел license
Для перехода в этот раздел необходимо выполнить команду "license". Все команды для этого раздела представлены в таблице 11.
Таблица 11 - Описание команд раздела license.
Команда | Параметры | Действие | Разрешения |
---|---|---|---|
load license | Инициирует немедленную синхронизацию данных лицензии | license-manage | |
load devices | Инициирует немедленную синхронизацию списка устройств | license-manage | |
show license | Показывает информацию о лицензии | license-view | |
show device | [--serial <serial number>] (null) [--mac <MAC address>] (null) | Показывает информацию об устройстве по серийному номеру или мак-адресу. Должен быть указан один из параметров. | license-view |
show devices | [--mode active|inactive|expired|all] (all) [--sort serial|mac|cert|request] (serial) [--order acs|desc] (asc) [--limit <limit count>] (10) [–skip <skip count>] (0) | Показывает постранично список устройств Issue-сервера с заданными параметрами выборки, сортировки и ограничения по количеству устройств на страницу | license-view |
revoke device | [--serial <serial number>] (null) [--mac <MAC address>] (null) | Отзывает сертификат для указанного устройства. Должен быть указан один из параметров. | license-manage |
Раздел ips
Для перехода в этот раздел необходимо выполнить команду "ips". Все команды для этого раздела представлены в таблице 12.
Таблица 9 - Описание команд раздела ips.
Команда | Параметры | Действие | Разрешения |
---|---|---|---|
show vendors | Показывает список вендоров | ips-view | |
load rules | [--open true|false] (false) | Инициирует немедленный запрос правил | ips-manage |
show files | --vendor <vendor name> | Показывает список файлов для вендора | ips-view |
add vendor | --vendor <vendor name> --url <URL to rules> [--cert <path to certifitace>] (null) | Добавляет информацию о вендоре | ips-manage |
add file | --vendor <vendor name> --file <file name> [--description <description>] (null) | Добавляет информацию о файле для вендора | ips-manage |
edit vendor | --vendor <vendor name> [--url <URL to rules>] (null) [--cert <path to certifitace>] (null) | Редактирует информацию о вендоре | ips-manage |
edit file | --vendor <vendor name> --file <file name> --description <description> | Редактирует информацию о файле | ips-manage |
delete vendor | --vendor <vendor name> | Удаляет данные о вендоре | ips-manage |
delete files | --vendor <vendor name> | Удаляет информацию о всех файлах вендора | ips-manage |
delete file | --vendor <vendor name> --file <file name> | Удаляет информацию о файле | ips-manage |
Лицензирование устройств ESR
Для лицензирования при помощи EDM на ESR должна стоять прошивка не ниже чем 1.13.0 и предварительно отформатированная в exfat microSD карта либо же usb Flash.
Если при выполнении всех выше описанных шагов проблем не возникло, то можно приступить к лицензированию устройств ESR. Для этого необходимо подключиться к ESR и добавить в его конфигурацию следующие данные. Подробнее про конфигурацию ESR написано в описании функционала ESR. ESR-Series. Описание функционала. Версия 1.12.0 / Управление безопасностью
Применить конфигурацию для ESR, убедившись что сервер на котором расположен EDM доступен для ESR.
configuration content-provider host address [address] host port [EDM-port] (8098) storage-device [label-of-device] reboot immediately enable
- Устройство обратится к EDM, для регистрации в системе и получения лицензии.
- После применения этой конфигурации если ESR аутентифицировался в EDM и получил лицензию IPS-EDM он пререзагрузится для применения новой лицензии.
Возможные проблемы
Устройство не сертифицировано
Устройству не удается провести аутентификацию, т.к. оно не было предварительно сертифицировано на EDM.
Решение:
Дождаться пока устройство самостоятельно не проведет сертификацию
Сертификат устройства не валиден
Устройству не удается провести аутентификацию, т.к. сертификат был отозван, срок действия выданного сертификата истек или сертификат был поврежден.
Решение:
Дождаться пока устройство самостоятельно не проведет повторную сертификацию
Устройство не поддерживается лицензией
Устройству не удается получить сертификат, т.к. оно не поддерживается или достигнут предел количества устройств, доступных для сертификации по лицензии EDM.
Решение: Отозвать сертификат другого устройства
Не были получены правила от лицензирующего сервера EDM
Устройству не удается получить правила, т.к. EDM не имеет доступных для передачи правил от лицензируемых вендоров.
Решение:
Получить правила по инструкции из раздела Получение правил от лицензирующего сервера EDM
Нет доступных правил для передачи устройству
Устройству не удается получить правила, т.к. никакие из запрашиваемых категорий не поддерживаются по лицензии EDM.
Решение:
- Изменить список запрашиваемых категорий правил в политике безопасности устройства
- Или запросить изменение параметров лицензии на стороне лицензирующего сервера EDM
Нет части правил для передачи устройству
Устройству не удается получить часть правил, т.к. некоторые из запрашиваемых категорий не поддерживаются по лицензии EDM.
Решение:
- Изменить список запрашиваемых категорий правил в политике безопасности устройства
- Или запросить изменение параметров лицензии на стороне лицензирующего сервера EDM
Отзыв сертификата устройства
Для отзыва сертификата устройства, необходимо в запущенном EDM CLI перейти в раздел управления лицензией командой:
license
Затем отозвать сертификат устройства командой:
revoke device --serial <серийный номер устройства>
Чтобы проверить статус сертификата, можно перейти в раздел управления лицензией командой:
license
И выполнить команду:
show device --serial <серийный номер устройства>
В результате выполнения команды должно отобразиться сообщение, что устройство с указанным серийным номером не найдено.
Получение правил от лицензирующего сервера EDM
Синхронизация данных между EDM и лицензирующим сервером EDM по умолчанию происходит раз в 15 минут.
В случае, если нужно инициировать процесс передачи правил вручную, необходимо в запущенном EDM CLI перейти в раздел управления лицензией командой:
license
Затем инициировать запрос данных лицензии командой:
load license
После получения данных о доступных по лицензии категорях правил, необходимо в запущенном EDM CLI перейти в раздел управления вендорами и категориями правил командой:
ips
Затем инициировать запрос правил командой:
load rules
Чтобы проверить доступные на EDM категории правил, можно перейти в раздел управления вендорами и категориями правил командой:
ips
И выполнить команду:
edmi-ips> show files --vendor kaspersky
В результате выполнения команды должна отобразиться информация по всем полученным от лицензирующего сервера EDM правилам.
Статусы ответов, возвращаемые сервисом
При работе с ESR,он может возвращать некоторые статусы ответов полученные от EDM, они представленны в таблице 8:
Таблица 8 - Статусы ответов сервиса EDM.
Числовое значение | Название | Описание | Причина | Код состояния HTTP |
---|---|---|---|---|
0 | UNKNOWN | Неизвестный статус. | Не удалось сопоставить статус ошибки, произошедшей в EDM, с возвращаемым статусом. | 500 Internal Server Error |
2 | OK | Запрос выполнен успешно. | Запрос выполнен успешно. | 200 OK |
3 | CHECK | Требуется проверка аутентификации. | Предшествующий запрос аутентификации выполнен успешно и требуется проверка подписи. | 200 OK |
4 | CONTINUE | Возможен повторный запрос. | Предшествующий запрос выполнен успешно и возможно продолжение получения данных с помощью аналогичных запросов. | 200 OK |
5 | NOT_FULL | Не удалось получить часть данных. | Запрос выполнен успешно, но часть запрошенных данных не удалось получить. | 200 OK |
6 | EMPTY | Не удалось получить никакие данные. | Запросы выполнен успешно, но не удалось получить никакие из запрошенных данных. | 500 Internal Server Error |
7 | LICENSE_GEN_CONNECTION | Нет соединения с генератором лицензий. | Не удалось установить соединение с генератором файлов лицензий. | 500 Internal Server Error |
8 | LICENSE_GEN_AUTH_ERROR | Не удалось выполнить аутентификацию с генератором лицензий. | Соединение с генератором файлов лицензий было выполнено, но не удалось выполнить аутентификацию с помощью токена. | 500 Internal Server Error |
9 | LICENSE_GEN_ERROR | Не удалось сгенерировать лицензию с помощью генератора лицензий. | Генератор файлов лицензий не смог сгенерировать файл лицензии. | 500 Internal Server Error |
10 | ERR_NEW | Сессия не была инициализирована. | В текущей используемой сессии не была проведена аутентификация. | 403 Forbidden |
11 | ERR_STATUS | Неверный статус сессии. | Статус текущей используемой сессии не позволяет дальнейшую работу с EDM. | 403 Forbidden |
12 | PARAMS_MISSING | Отсутствуют некоторые параметры запроса. | В теле запроса отсутствуют необходимые параметры. | 400 Bad Request |
13 | ERR_USED | Сессия уже использована. | Произведена попытка аутентификации на EDM, когда в текущей используемой сессии уже была проведена аутентификация. | 403 Forbidden |
14 | REJECTED | Запрос отклонен. | Очередь запросов на сервере EDM переполнена. | 403 Forbidden |
15 | DEVICE_TIMEOUT | Время ожидания запроса истекло. | Превышен интервал ожидания активности между запросами. | 403 Forbidden |
16 | INVALID_PROCESSING | Нарушена очередность запросов. | Порядок поступления запросов был нарушен. | 403 Forbidden |
20 | ERR_INTERNAL | Внутренняя ошибка сервера. | Произошла непредвиденная ошибка на стороне EDM. | 500 Internal Server Error |
21 | LICENSE_INVALID | Некорректная лицензия. | Данные лицензии, в рамках которой выполняется запрос, повреждены. | 403 Forbidden |
22 | SIGN_INVALID | Некорректная подпись. | Не удалось выполнить сертификацию или аутентификацию, так как подлинность полученной подписи не удалось проверить. | 403 Forbidden |
24 | LICENSE_LIMIT | Превышен лимит лицензии. | Не удалось сертифицировать новое устройство, так как исчерпан лимит допустимых для использования устройств по лицензии. | 403 Forbidden |
25 | PARAMS_MALFORMED | Некоторые параметры запроса имеют некорректный формат. | Не удалось выполнить запрос, так как некоторые параметры пусты или имеют неверный формат. | 400 Bad Request |
26 | CERT_MALFORMED | Подлинность сертификата не была подтверждена. | Не удалось провести аутентификацию устройства на Issue EDM, из-за некорректного сертификата. | 403 Forbidden |
27 | CERT_REVOKED | Сертификат был отозван. | Не удалось провести аутентификацию устройства на Issue EDM, из-за того что его сертификат был отозван. | 403 Forbidden |
28 | CERT_EXPIRED | Срок действия сертификата истек. | Не удалось провести аутентификацию устройства на Issue EDM, из-за того что срок действия его сертификата истек. | 403 Forbidden |
29 | HARDWARE_NOT_MATCH | Характеристики устройства ESR отличаются от установленных лицензией. | Не удалось провести аутентификацию устройства на Root EDM, так как параметры устройства отличаются от установленных лицензией. | 403 Forbidden |
30 | NOT_REGISTERED | Устройство не зарегистрировано на сервере. | Не удалось провести аутентификацию устройства на Issue EDM, из-за того что оно было удалено с сервера или еще не получало сертификат. | 403 Forbidden |
31 | LICENSE_EXPIRED | Срок действия лицензии истек. | Срок действия лицензии, в рамках которой выполнятся запрос, истек. | 403 Forbidden |
33 | PIN_INVALID | Некорректный пин. | Не удалось выполнить сертификацию или аутентификацию, так как полученный пин не совпадает с тем, который был отправлен сервером. | 403 Forbidden |
35 | SESSION_INVALID | Некорректная сессия. | Данные текущей используемой сессии были повреждены. | 403 Forbidden |
36 | LICENSE_NOT_FOUND | Лицензия не найдена. | Данные о лицензии, в рамках которой выполняется запрос, отсутствуют на сервере. | 403 Forbidden |
37 | LICENSE_NOT_STARTED | Срок начала действия лицензии еще не наступил. | Срок начала действия лицензии, в рамках которой выполняется запрос, еще не наступил. | 403 Forbidden |
38 | ACCESS_DENIED | Доступ запрещен. | Возможность отправлять запросы на сервер с текущего IP-адреса ограничена. | 403 Forbidden |
45 | REJECTED_SERVICE | Отказано в доступе. | Запрос не может быть выполнен, так как внешний статус лицензии, в рамках которой выполняется запрос, не валиден. | 403 Forbidden |
50 | ROOT_UNAVAILABLE | Root сервер не доступен. | Не удалось получить ответ от Root EDM на запрос от Issue EDM. | 503 Service Unavailable |
51 | AUTH_BAD_PASS | Неверный пароль. | Использован неверный пароль пользователя WEB-интерфейса. | 403 Forbidden |
52 | AUTH_BAD_USER | Пользователь не найден. | Пользователь WEB-интерфейса отсутствует в БД. | 403 Forbidden |
53 | AUTH_BAD_STATUS | Некорректный статус пользователя. | Пользователь WEB-интерфейса заблокирован или нуждается в смене пароля. | 403 Forbidden |
54 | NOT_AUTHORIZED | Пользователь не авторизован. | Произведена попытка выполенения запроса от WEB-интерфейса, без прохождения предварительной аутентификации пользователя. | 403 Forbidden |
56 | NOT_PERMITTED | Выполнение запроса запрещено. | Произведена попытка выполнить действие, не разрешенное текущему пользователю, с помощью WEB-интерфейса. | 403 Forbidden |
Техническая поддержка
Для получения технической консультации по вопросам эксплуатации оборудования ООО«Предприятие «ЭЛТЕКС» Вы можете обратиться в Сервисный центр компании:
Форма обратной связи на сайте: https://eltex-co.ru/support
Servicedesk: https://servicedesk.eltex-co.ru
На официальном сайте компании Вы можете найти техническую документацию и программное обеспечение для продукции ООО «Предприятие «ЭЛТЕКС», обратиться к базе знаний, оставить интерактивную заявку или проконсультироваться у инженеров Сервисного центра на техническом форуме:
Официальный сайт компании: https://eltex-co.ru/
Технический форум: https://eltex-co.ru/forum
База знаний: https://docs.eltex-co.ru/display/EKB/Eltex+Knowledge+Base
Центр загрузок: https://eltex-co.ru/support/downloads