Управление сервером

Администраторы

В Ideco Center вы можете создать локальных администраторов или интегрировать администраторов из RADIUS-сервера. Добавление администраторов в Ideco Center аналогично механизму в Ideco NGFW.

Локальным администраторам могут быть назначены роли:

Администратор - имеет доступ ко всем функциям Ideco Center;
Только просмотр - не имеет возможности управлять правилами в Ideco Center (создавать, менять приоритет и др.);
Администратор информационной безопасности - имеет доступ к собятиям безопасности;
Администратор файрвола - может создавать учетные записи, настраивать правила фильтрации и управлять режимами работы Файрвола;
Администратор настройки доступов - имеет доступ к настройкам сетевого взаимодействия пользователей Файрвола, субъектов доступа, информационных систем.

Удалять подключенный Ideco NGFW из Ideco Center могут только администраторы с ролью Администратор.

Войти в подключенный Ideco NGFW с логином и паролем администратора Ideco Center невозможно.

Доступ к веб-интерфейсу из внешней сети и удаленный доступ по SSH

Для получения доступа к Ideco Center по SSH из локальной сети включите опцию. Доступ осуществляется по 22 TCP-порту. Попытки подбора паролей будут автоматически блокироваться.

Обновления

Обновить систему Ideco Center можно как в офлайн-режиме, так и по сети. Настроить режим обновления можно в Управление сервером -> Обновления.

Для отключения автоматического обновления Ideco Сenter в строке Отложить обновление выберите Навсегда.

Автоматическое обновление

В режиме Автоматического обновления доступны следующие настройки:

Расшифровка полей

Канал автоматических обновлений - выберите Релиз или Тестовый. Канал Релиз позволяет обновляться на стабильно работающие версии. Канал Тестовый позволяет быстрее обновляться как на релизные версии, так и на последние бета-версии продукта во время коротких периодов бета-тестирования новых мажорных версий. По умолчанию выбран пункт Релиз;
Отложить обновления - время, на которое будет отложено обновление (максимальный срок - шесть месяцев с даты релиза последней версии, до которой доступно обновление);
День недели - день недели запуска автоматического обновления;
Час автоматической перезагрузки - позволяет выбрать час запуска автоматического обновления;
Запустить обновление - запускает механизм принудительного обновления. Если кнопка неактивна, обновления отсутствуют.

Ручное обновление

В режиме Ручной загрузки обновлений необходимо скачать ISO-образ новой версии Ideco Center в личном кабинете MY.IDECO и загрузить его с внешнего носителя:

Кнопка принудительного обновления активна только после скачивания обновления и позволяет его применить. Скачивание нельзя инициировать. После применения обновления потребуется полная перезагрузка сервера.

После обновления новая версия будет отображаться в верхнем левом углу локального меню и веб-интерфейса Ideco Center.

Восстановление на предыдущую версию

Кнопка Восстановить позволяет вернуться к предыдущей версии Ideco Center. Система будет перезагружена, при этом текущие настройки будут потеряны. После восстановления отложите автоматическое обновление.

При восстановлении на предыдущую версию данные перенесены не будут. Сохраните информацию на внешнем носителе.

Процесс выхода релизов в каналы обновлений

Тестовый канал обновлений позволяет быстрее обновляться до новых версий (релизных или бета-версий во время их активного тестирования). После выхода бета-версии Ideco Center в Тестовый канал ожидается обратная связь от пользователей по использованию новой версии продукта через Telegram. Обратная связь позволяет выявить недочеты и уязвимости в продукте. После их исправления происходит выкладка в канал Релиз.

Если в версии Ideco Center, вышедшей в канал Релиз, в ходе использования выявляются недочеты, то они исправляются ближайшими обновлениями версии. Обновление в канале Релиз появляется постепенно.

Особенности обновления Ideco Center

Обновление будет автоматически установлено в указанное в настройках время после релиза новой версии.
Обновления можно отложить на срок до шести месяцев или навсегда. Если отложить обновление на определенный срок, то период будет отсчитываться от даты релиза последнего доступного обновления и корректироваться в соответствии с указанным для обновления днем недели.
Даты релизов можно посмотреть на сайте или в документации в разделе Changelog.
Номер мажорной версии Ideco Center - часть номера до точки (например, 14.x), номер минорной версии - часть после точки (например, x.7).

Если обновление было отложено на шесть месяцев, но за это время вышел новый минорный релиз, дата обновления сдвигается. Шесть месяцев теперь отсчитываются с даты выхода последнего доступного минорного релиза.

Бэкапы

Бэкап - это предварительно созданная резервная копия данных, позволяющая восстановить большинство настроек и сохраненной информации.

В Ideco Center создается только полный бэкап, который включает в себя все настройки, созданные администратором в веб-интерфейсе.

Бэкапы не включают:

Системный журнал;
Любые данные, автоматически генерируемые в процессе работы системы.

В Ideco Center бэкап создается как автоматически, так и вручную.

Автоматическое создание бэкапа

Для настройки автоматического бэкапа перейдите в Управление сервером -> Бэкапы -> Настройки:

Установите время ежедневного создания и продолжительность хранения бэкапа на локальном жестком диске. При настройке выгрузки на сетевое файловое хранилище автоматический бэкап будет также дублироваться туда.

Время ежедневного создания копии - укажите в настройках час (рекомендуется выбирать ночное время для создания бэкапа);
Хранить в течение - хранить бэкапы на локальном жестком диске можно в течение недели или месяца.

Каждый автоматически созданный бэкап сохраняется в таблице бэкапов с комментарием "Автоматическая резервная копия".

Рекомендуется хранить бэкапы не только на локальном жестком диске, но и на внешних носителях. Ideco Center предоставляет возможность выгружать бэкапы:

на сетевое файловое хранилище по протоколу FTP;
на сетевое файловое хранилище по протоколу NetBIOS (CIFS);

Ключевые параметры, необходимые для настройки бэкапа на NetBIOS-сервер:

Адрес сервера - IP-адрес удаленного NetBIOS-сервера, на котором будут размещаться бэкапы;
Логин - имя пользователя для авторизации на сетевом ресурсе Windows;
Пароль - пароль для авторизации на сетевом ресурсе Windows;
Путь к каталогу - каталог, в который будут записываться бэкапы.

Укажите путь к каталогу в UNIX-формате. К примеру, в ОС Windows каталог открывается по пути \\192.168.1.1\dir_1\dir_2\backup, значит, в поле Путь к каталогу пропишите dir_1/dir_2/backup.

Ручное создание бэкапа

Через веб-интерфейс

Для создания бэкапа через интерфейс Ideco Center перейдите в Управление сервером -> Бэкапы -> Бэкапы и выполните действия:

2. Введите комментарий и нажмите Добавить.

Новый бэкап появится в таблице:

Через локальное меню

Чтобы создать новый бэкап через локальное меню Ideco Center, выполните действия:

1. Выберите пункт 10. Создать новый бэкап и нажмите Enter.

2. Введите комментарий для бэкапа и нажмите Enter.

Пример создания бэкапа через локальное меню приведен на скриншоте ниже:

Настройка сохранения бэкапа в сетевом файловом хранилище возможна только через веб-интерфейс Ideco Center. Выгрузка на внешние сетевые хранилища производится только при автоматическом создании бэкапа.

Восстановление конфигурации из бэкапа

В Ideco Center возможно полное и мгновенное восстановление из бэкапа.

При выполнении полного восстановления система будет перезагружена для применения настроек сервера.

При выполнении мгновенного восстановления бэкап применится без перезагрузки. При этом не сохраняется статистика в отчётах.

Полное восстановление возможно либо на текущую версию, либо на предыдущую мажорную версию. Например, на версии 17 возможно полное восстановление бэкапа версии 16 или версии 17.

Мгновенное восстановление возможно только для бэкапа версии, полностью совпадающей с установленной на сервере.

Через веб-интерфейс

Также можно загрузить бэкап из файла. Например, в случае переноса с другого сервера. Для восстановления конфигураций бэкапа, который находится на внешнем носителе, перейдите в Управление сервером -> Бэкапы -> Бэкапы, нажмите на кнопку Добавить и выберите Загрузить из файла:

Через локальное меню

Перейдите в локальное меню и выполните действия:

1. Выберите пункт:

11. Восстановить из бэкапа - восстановятся все настройки и перезагрузится сервер;
12. Мгновенно восстановить из бэкапа - восстановятся все настройки без перезагрузки сервера, кроме изменений в списке пользователей и отчетах.
Нажмите Enter.

2. Выберите из списка бэкап, введя пункт нужной копии, и нажмите Enter.

3. Перезагрузите сервер при запуске полного восстановления, введя y, а затем Enter. При мгновенном восстановлении перезагрузка не нужна.

Пример восстановления из бэкапа через локальное меню:

Чтобы перенести установленный Ideco Center с одного сервера на другой с сохранением всех настроек, воспользуйтесь статьей Перенос данных и настроек на другой сервер.

Терминал

Используйте терминал только для диагностики. Воздержитесь от команд, изменяющих файлы. Система рассчитана на настройку только через веб-интерфейс. Компания "Айдеко" не несет ответственности за негативные последствия работы с Ideco Center из терминала. Техническая поддержка вправе отказать в обслуживании, если окажется, что работа системы была нарушена из-за действий пользователя в терминале.

Основные команды

Утилиты сетевой диагностики: ping, host, nslookup, tracepath, tcpdump, arping, ss (аналог netstat);
Файловый редактор: nano;
Просмотр логов: journalctl -u <название службы> (например, journalctl -u ideco-routing-backend);
Проверка скорости интернета: speedtest-cli;
Просмотр ARP-таблицы: ip neigh show;
Разблокировка в случае срабатывания защиты от брутфорс-атак:
- fail2ban-client unban --all - команда используется для снятия всех блокировок;
- fail2ban-client unban <IP-адрес> - команда используется для разблокировки конкретного IP-адреса. Укажите нужный IP-адрес в качестве аргумента.
Просмотр конфигурации FRR: vtysh.

Таблица служб

Раздел

Имя службы

Серверы

ideco-servers-backend, ideco-servers-websocket

Файрвол

ideco-firewall-backend, ideco-firewall-rest

Контент-фильтр

ideco-content-filter-backend

Предотвращение вторжений

ideco-suricata-backend

Объекты

ideco-alias-backend

Сетевые интерфейсы

ideco-network-backend, ideco-network-nic

Маршрутизация

ideco-routing-backend, ideco-routing-rest

Обратный прокси

ideco-reverse-backend

Защита и управление DNS

ideco-dns-backend, unbound, nsd, unbound-anchor, unbound-keygen

DHCP-сервер

ideco-dhclient

NTP-сервер

chronyd

Кластеризация

ideco-cluster-backend

Обновления

ideco-sysupdate-backend

Бэкапы

ideco-backup-backend, ideco-backup-create

Лицензия

ideco-license-backend

Syslog

ideco-logs-backend, ideco-monitor-backend

Отчеты и журналы

ideco-logs-backend, ideco-logs-syncer

Действия администраторов

ideco-audit-backend

Авторизация администраторов

ideco-web-backend

Сертификаты

ideco-cert-backend

Локальное меню

ideco-local-menu

Дополнительно

ideco-system-backend

Сбор анонимной статистики о работе сервера

ideco-gatherstat-backend

Защита от несанкционированного доступа, в т.ч. от брутфорс-атак (brute force - атака полным перебором)

fail2ban

REST API NGFW

ideco-rest-api-backend

Доступ по SSH

sshd

Дополнительно

Настройка осуществляется через веб-интерфейс в Управление сервером -> Дополнительно.

Расшифровка полей

Сбор анонимной статистики о работе сервера - включение этого параметра разрешает серверу отправлять информацию об используемых модулях. При этом не отправляется информация о пользователях, проходящем через сервер трафике, сетевых интерфейсах и идентификаторах сервера и лицензии;
Энергосберегающий режим - включение этого режима снижает производительность процессора и обработки трафика;
Адрес Ideco Center - поле заполняется, если сервер Ideco Center находится за NAT;
Настройка часового пояса - изменения вступают в силу только после перезагрузки Ideco Center;
Настройки языка - изменения вступают в силу только после перезагрузки Ideco Center;
Сбросить блокировки по IP - используйте для сброса всех заблокированных IP-адресов. Если требуется разблокировать какой-то конкретный IP-адрес, воспользуйтесь командой fail2ban-client unban <IP-адрес> в терминале.