MISP2 lisamoodulite paigaldus- ja seadistusjuhend Versioon 2.3
Sisukord 1. Sissejuhatus... 3 2. Nõuded keskkonnale... 3 2.1. Java... 3 2.2. XMLSec... 3 2.3. WSO2 ESB... 4 2.4. MISP2 rakenduse andmekogu... 7 3. Seadistamine... 8 3.1. HTTPS ühenduse seadistamine X-tee turvaserveri ja WSO2 ESB vahel:... 8 3.2. Muud seadistused... 9 2
1.Sissejuhatus Käesolev dokument kirjeldab kirjeldatakse MISP2 rakenduse lisamoodulite paigaldamist. Lisamoodulid pole vajalikud MISP2 rakenduse põhifunktsionaalsuse tööks, vaid lisavad rakendusele juurde teatud spetsiifilisi lisafunktsioone. 2.Nõuded keskkonnale Toetatud operatsioonisüsteem: Ubuntu Server 14.04 Long-Term Support (LTS), 64-bitine. Vajalik ühendus X-tee turvaserveriga (siseliidesega), milles on seadistatud X-tee asutus, millena MISP2 tegutseb X-teel Vajalik tingimuslikult: OCSP kehtivuskinnituse teenuse kasutamise leping Sertifitseerimiskeskusega, kui on soov võimaldada päringutulemuste allkirjastamist MISP2 veebirakenduses, programsete päringute sertifikaatide ning id-kaardiga autenditud kasutajate sertifikaatide kontrolli OCSP kaudu. o OCSP responder sertifikaat OCSP vastuse signatuuri kontrolliks. Riistvara parameetrid: 64 bitine protsessor, 4GB RAM 2.1.Java Paigaldada Java SDK: apt-get install openjdk-7-jdk 2.2.XMLSec Märkus: XMLSec paigaldamine on vajalik ainult signeeritud programsete päringute kasutamise toe lisamiseks. Paigaldada XMLSec library ja käsureautiliit xmlsec1 apt-get install xmlsec1 3
2.3.WSO2 ESB Märkus: WSO2 ESB tarkvara paigaldamine on vajalik programsete päringute kasutamise ning WS- BPEL teenuste kasutamise toe lisamiseks MISP2-le. Paigaldamine: Laadida alla WSO2 ESB (versioon 4.8.1) asukohast: http://wso2.com/products/enterprise-service-bus/ Või käsuga: curl https://product-dist.wso2.com/products/enterprise-servicebus/4.8.1/wso2esb-4.8.1.zip -o wso2esb-4.8.1.zip Lahti pakkida WSO2 ESB tarkvara folderisse: /var/lib/wso2esb-4.8.1/ Kopeerida järgmised failid (failid saab MISP2 repositoorimi alamfolderist /util/esb/): cp verifysignedsoap-mediator.jar /var/lib/wso2esb-4.8.1/repository/components/lib/ cp postgresql-9.3-1101.jdbc4.jar /var/lib/wso2esb-4.8.1/repository/components/lib/ Muuta käivitusskripti õigused: chmod a+x /var/lib/wso2esb-4.8.1/bin/wso2server.sh Seadistada andmebaasiparameetrid failis: /var/lib/wso2esb-4.8.1/repository/conf/datasources.properties Näide (muuta vastavalt baasi IP, username, parool): synapse.datasources=misp2db synapse.datasources.icfactory=com.sun.jndi.rmi.registry.registrycontextfactory synapse.datasources.providerurl=rmi://localhost:2199 synapse.datasources.misp2db.type=basicdatasource synapse.datasources.misp2db.driverclassname=org.postgresql.driver synapse.datasources.misp2db.dsname=misp2db synapse.datasources.misp2db.maxactive=300 synapse.datasources.misp2db.maxidle=8 synapse.datasources.misp2db.minidle=2 synapse.datasources.misp2db.initialsize=2 synapse.datasources.misp2db.maxwait=30000 4
synapse.datasources.misp2db.url=jdbc:postgresql://127.0.0.1:5432/misp2db synapse.datasources.misp2db.username=misp2 synapse.datasources.misp2db.password=xxxxx Järgnevalt toodud kopeerimisele kuuluvad konfiguratsioonifailid võetakse MISP2 repositoorimi folderist /util/esb/. Kopeerida failid main.xml ja faulthandler.xml kausta: /var/lib/wso2esb-4.8.1/repository/deployment/server/synapse-configs/default/sequences/ Kopeerida fail rewrite-xroad6-client-header.xml kausta: /var/lib/wso2esb-4.8.1/repository/deployment/server/synapse-configs/default/local-entries/ Muuta main.xml failis parameetrite verifycertvia, ocspurl ja capath väärtused vastavalt vajadusele (nt: <property name="verifycertvia" value="ocsp"/> asemel <property name="verifycertvia" value="crl"/>. Parima jõudluse tagamiseks konfigureerida süsteemi järgmiselt: /etc/sysctl.conf net.ipv4.ip_local_port_range = 1024 65535 net.ipv4.tcp_fin_timeout = 30 fs.file-max = 2097152 Et muudatused rakenduks, käivitada käsk: sysctl -p /etc/security/limits.conf * soft nofile 4096 * hard nofile 65535 Kopeerida init-skript (fail: wso2) asukohta: /var/lib/wso2esb-4.8.1/wso2 Seadistada skript järgnevalt chmod a+x /var/lib/wso2esb-4.8.1/wso2 ln -snf /var/lib/wso2esb-4.8.1/wso2 /etc/init.d/wso2 update-rc.d wso2 defaults Skripti kasutamine: /etc/init.d/wso2 {start stop restart} Start võtab aega ca 25 sek. Veenuda, et Apache2 konfifailis /etc/apache2/ports.conf on lisatud järgnev rida (port 4443 avatud): Listen 4443 Veenduda, et Apache2 konfiguratsioonifailis /etc/apache2/sites-available/ssl.conf on <Location /idcard > sektsiooni viimaseks reaks järgnev direktiiv. 5
RequestHeader edit SSL_CLIENT_S_DN ",.*(?=,C=)" "" Kui see rida puudub, tuleks see sinna lisada. Antud direktiiv töötleb kasutaja sertifikaadi kirjeldust, jättes sinna alles ainult isikukoodi ja riigikoodi. Sektsiooni <IfModule proxy_module> alla tuleks isada veel juurdepääsukeeld pordis 4443 kõikidele asukohtadele, mis ei ole /signedsoap ega /idcard (juhul, kui see on puudu): <LocationMatch "^(?!/signedsoap$ /idcard$)"> Require all denied </LocationMatch> Seejärel restartida Apache 2 server. service apache2 restart Otsese juurdepääsu piiramine WSO2 moodulile Süsteemis on vajalik piirata väline juurdepääs pordile 8280. Viimast kasutatakse serveri-siseselt juba autenditud päringute saatmiseks WSO2-le. Kogu väline juurdepääs WSO2-ga käib Apache 2 serveri kaudu läbi pordi 4443 (turvatud HTTPS port programsete päringute jaoks). Välise juurdepääsu piiramiseks 8280 pordile võib kasutada Ubuntu tulemüürirakendust ufw (Uncomplicated FireWall). Vaikimisi on kõik sissetulevad ühendused keelatud (aga masinasisesed ja väljuvad ühendused on avatud). Kui süsteemi hallatakse üle SSH pordi 22, tuleks lubada port 22 ühendused. ufw allow 22 Et lülitada tulemüür sisse, tuleks juurõigustes terminaliaknasse sisestada järgnev käsk. ufw enable Tulemüüri sisselülitamisel on juba ligipääs 8280 pordist piiratud. Samuti on suletud väljastpoolt programsete päringute port 4443. See tuleb avada sissetulevatele ühendustele. ufw allow 4443 Tõenäoliselt on väljastpoolt tarvis juurde pääseda ka MISP2 veebiliidesele, seega tuleks avada veel port 443. ufw allow 443 Kui konfigureerimine ebaõnnestub, võib kasutada ufw argumenti reset ja alustada näite algusest. 6
2.4.MISP2 rakenduse andmekogu MISP2 rakenduse andmekogu võimaldab X-tee versioon 6 portaalis kasutada logonly teenust auditlogi saatmiseks turvaserverisse ja MISP2 rakenduse pääsuõiguste päringuteenust. X-tee versioonis 5 oli logonly teenus realiseeritud turvaserveri metateenusena, ent X-tee versioonist 6 on see metateenus eemaldatud, mistõttu tuleb funktsionaalsuse kasutamiseks paigaldada iseseisev andmekogu ning konfigureerida MISP2 rakendus päringuid tegema andmekogu logonly.v1 teenusele. MISP2 rakenduse andmekogu on realiseeritud misp2-soap-service-v6.war konteinerina, mis tuleks asetada Tomcat serveri /var/lib/tomcat7/webapps kausta. Seejärel loob tomcat7 WAR faili kõrvale deploy-kausta nimega misp2-soap-service-v6. Kuna andmekogus sisaldub peale logonly teenuse veel pääsuõiguste teenus userallowedmethods, tuleb seadistada andmekogu ühendus MISP2 rakenduse andmebaasiga. Selleks tuleks muuta konfiguratsioonifaili andmekogu deploy-kaustas failis /var/lib/tomcat7/webapps/misp2-soap-service-v6/meta-inf/persistence.xml. Failis tuleks muuta andmebaasiühenduse parameetrite url, username ja password väärtusi. MISP2 rakenduse andmebaasiserveris tuleks /etc/postgresql/9.3/main/pg_hba.conf failis anda andmekogu serverile ligipääs. Pärast andmebaasiseadistuste muutmist tuleks tomcat7 taaskäivitada. service tomcat7 restart MISP2 rakenduse pääsuõiguste andmekogu X-tee 5 jaoks Märkus: pääsuõiguste andmekogu paigaldamine on vajalik juhul, kui soovitakse kasutada pääsuõiguste andmekogu lisafunktsionaalsust. X-tee versioon 5 andmekogu deploy on sarnane X-tee 6 andmekogu omaga, ent konfiguratsioon on erinev. Seadistada andmebaasi parameetrid Tomcati konfiguratsioonis, lisa järgmised parameetrid faili /var/lib/tomcat6/conf/web.xml (paksult trükitud väärtused asendada tegelike väärtustega) <param-name>producer</param-name> <param-value>producer_name</param-value> <param-name>dbhost</param-name> <param-value>db_server_name</param-value> <param-name>dbname</param-name> <param-value>portal_db_name</param-value> 7
<param-name>dbusername</param-name> <param-value>portal_db_username</param-value> <param-name>dbpassword</param-name> <param-value>portal_dbpassword</param-value> 3.Seadistamine 3.1.HTTPS ühenduse seadistamine X-tee turvaserveri ja WSO2 ESB vahel: Seadistada HTTPS MISP2 ja X-tee turvaserveri vahel, nagu kirjeldatud MISP2 paigaldusjuhises (vt MISP2 paigaldusjuhend, ptk 4.1 HTTPS ühenduse konfigureerimine MISP2 veebirakenduse ja turvaserveri vahel) ning lisaks määrata HTTPS parameetrid ka WSO2 ESB konfiguratsioonis järgnevalt: $SYNAPSE_HOME/repository/conf/axis2.xml failis otsida üles https transportsender ja muuta järgnevad märgitud parameetrid. <transportsender name="https" class="org.apache.synapse.transport.nhttp.httpcoreniosslsender"> <parameter name="non-blocking" locked="false">true</parameter> <parameter name="keystore" locked="false"> <KeyStore> <Location>loodud misp2truststore.jks faili asukoht</location> <Type>JKS</Type> <Password>misp2truststore.jks parool</password> <KeyPassword> misp2truststore.jks parool </KeyPassword> </KeyStore> </parameter> <parameter name="truststore" locked="false"> <TrustStore> <Location>loodud misp2keystore.jks faili asukoht</location> <Type>JKS</Type> <Password>misp2keystore.jks parool</password> </TrustStore> </parameter> <!--<parameter name="hostnameverifier">defaultandlocalhost</parameter> supports Strict AllowAll DefaultAndLocalhost or the default if none specified --> </transportsender> Portaali administreerimise vaates muuta protokoll HTTPS peale ainult asutuse turvaserveri aadress väljal, päringute saatmise aadress (ehk ESB aadress) jätta HTTP peale. 8
3.2.Muud seadistused Java VM seadistamine Vajadusel võib muuta java süsteemseid parameetreid failis /etc/default/tomcat7. Mälukasutuse parameetrid suurendada vajadusel: JAVA_OPTS="${JAVA_OPTS} Xms1024m Xmx1024m -XX:MaxPermSize=256m" 9