Для надежного и безопасного использования системы PLAN-R следует придерживаться нескольких рекомендаций:
Внимание! Ознакомьтесь с описанием переменных окружения. перед тем как приступите к их настройке.
Измените значения переменных отвечающих за шифрацию данных. Для генерации рандомных последовательностей воспользуйтесь RANDOM.ORG или аналогичным ПО.
Внимание! Ознакомьтесь с разделом Интеграция с Active Directory..
По умолчанию в системе PLAN-R включена локальная аутентификация пользователей, для обеспечения безопасности и удобства работы в больших организациях рекомендуется перейти на аутентификация пользователей через Active Directory, что позволит Вам синхронизировать пользователей Ваших корпоративных доменов с пользователями PLAN-R.
Для этого:
Приложение PLAN-R работает на следующих портах:
Данный порты должны быть открыты для взаимодействия с приложением и добавлены в исключения использемого фаерволла.
Пример настройки ufw
UFW - это популярный инструмент для настройки и управления брандмауэром. Но Docker обходит правила UFW и опубликованные порты могут быть доступны, извне. Поэтому, необходимо изменить файл конфигурации UFW /etc/ufw/after.rules. Добавляем следующие правила в конце файла:
# BEGIN UFW AND DOCKER *filter :ufw-user-forward - [0:0] :ufw-docker-logging-deny - [0:0] :DOCKER-USER - [0:0] # Перенаправление в ufw-user-forward для обработки UFW правилами -A DOCKER-USER -j ufw-user-forward # Исключение локальных сетей из фильтрации -A DOCKER-USER -j RETURN -s 10.0.0.0/8 -A DOCKER-USER -j RETURN -s 172.16.0.0/12 -A DOCKER-USER -j RETURN -s 192.168.0.0/16 # Разрешить DNS-запросы -A DOCKER-USER -p udp -m udp --sport 53 --dport 1024:65535 -j RETURN # Логирование и блокировка подозрительного трафика (TCP и UDP) -A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16 -A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8 -A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12 -A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 192.168.0.0/16 -A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 10.0.0.0/8 -A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 172.16.0.0/12 # Возврат для продолжения обработки трафика -A DOCKER-USER -j RETURN # Логирование и блокировка -A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] " -A ufw-docker-logging-deny -j DROP COMMIT # END UFW AND DOCKER
Используйте команду sudo systemctl restart ufw или sudo ufw reload для перезапуска UFW и применения изменений.
Для открытия необходимых портов, воспользуйтесь командами:
sudo ufw allow 80 sudo ufw allow 81 sudo ufw allow 443
Перезапуск ufw:
sudo systemctl restart ufw
Убедитесь, что необходимые порты открыты:
sudo ufw status numbered
Для закрытия порта:
sudo ufw deny <номер порта>
Более, подробную информацию о настройке UFW для работы с docker, можно найти: https://github.com/chaifeng/ufw-docker
sudo usermod -aG docker username
newgrp docker