Первый вход в Платформу IVA MCU

Работа в командной строке

Расширенная настройка Платформы IVA MCU выполняется из командной строки (консоли). В Платформе IVA MCU используется консоль Linux с оболочкой bash.

При первом входе в Платформу IVA MCU (на сервер без ОС или на сервер с ОС Astra Linux) рекомендуется выполнить настройку удаленного доступа к Платформе IVA MCU по SSH-ключам или по SSH по паролю.

Для большей безопасности удаленный доступ в консоль по протоколу SSH рекомендуется совершать по авторизации по ключу

Вход в консоль управления Платформы IVA MCU из командной строки (сервер без ОС)

Для входа в консоль управления сервера, необходимо:

ввести следующие данные:
- логин по умолчанию: admin
- пароль (заданный при установке Платформы IVA MCU)
после ввода пароля в консоли управления появится строка admin@ivcs-main:~$_ для ввода команд управления

В консоли управления отслеживаются и записываются все действия, выполняемые пользователем

Вход в консоль управления Платформы IVA MCU из командной строки (сервер с ОС Astra Linux)

Для входа в консоль управления сервера, необходимо:

ввести логин и пароль, заданные при установке ОС Astra Linux
после ввода пароля в консоли управления появится строка <user_name>@<hostname>:~$ для ввода команд управления,
где:
<user_name> — имя пользователя
<hostname> — имя сервера

Настройка удаленного доступа к Платформе IVA MCU по SSH-ключам

При необходимости дополнительной защиты от несанкционированного доступа предусмотрена возможность настроить удаленный доступ к Платформе IVA MCU по SSH-ключам.

Для настройки удаленного доступа к Платформе IVA MCU по SSH-ключам необходимо:

войти в консоль управления сервера Платформы IVA MCU
создать директорию SSH, выполнив команду:
```
mkdir -p ~/.ssh
```
создать и войти в файл /authorized_keys, выполнив команду:
```
nano ~/.ssh/authorized_keys
```
в клиенте для протоколов удаленного доступа (например PuTTYGen) сгенерировать SSH-ключи, затем скопировать публичный SSH-ключ в буфер обмена
в консоли управления сервера Платформы IVA MCU в открытом файле /authorized_keys вставить публичный SSH-ключ, затем сохранить и закрыть его
сохранить закрытый SSH-ключ на устройстве (клиенте)
в консоли управления сервера Платформы IVA MCU открыть файл /sshd_config и разрешить удаленный доступ к серверу Платформы IVA MCU по SSH-ключам, выполнив команду:
```
sudo nano /etc/ssh/sshd_config
```
- раскомментировать параметр PubkeyAuthentication
- убедиться, что значение параметра PubkeyAuthentication — yes (или установить это значение)
в консоли управления сервера Платформы IVA MCU сохранить и закрыть файл /sshd_config
в консоли управления сервера Платформы IVA MCU сохранить изменения, выполнив команду:

Если Платформа IVA MCU установлена на сервер с ОС Astra Linux, то команду sudo iva-cli live save-changes выполнять не нужно
```
sudo iva-cli live save-changes
```
в консоли управления сервера Платформы IVA MCU произвести рестарт сервиса sshd, выполнив команду:
```
sudo systemctl restart sshd
```
убедиться, что сервис успешно запущен, выполнив команду:

Если сервис остановлен, то необходимо проверить корректность выполненных действий
```
sudo systemctl status sshd
```

пример вывода команды:

ssh.service - OpenBSD Secure Shell server
    Loaded:  loaded  (/lib/systemd/system/ssh.service;  enabled;  preset: enabled)
   Drop-In: /usr/lib/systemd/system/ssh.service.d
            └─override.conf
    Active: active (running) since Mon 2025-01-27 11:42:36 MSK; 1 week 3 days ago
      Docs: man:sshd(8)
            man:sshd_config(5)
  Main PID: 1120 (sshd)
     Tasks: 1 (limit: 7042)
    Memory: 6.5M
       CPU: 1.355s
    CGroup: /system.slice/ssh.service
            └─1120 "sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups"

в клиенте для протоколов удаленного доступа (например PuTTY) ввести IP-адрес сервера Платформы IVA MCU, выбрать вход в сервер по протоколу SSH, добавить сохраненный файл с закрытым SSH-ключом и открыть консоль управления

ввести логин по умолчанию в клиенте для протоколов удаленного доступа: <user_name>, где <user_name> — имя пользователя

Имя пользователя на сервере без предустановленной ОС — admin.

Имя пользователя на сервере с установленной ОС Astra Linux — то, которое было указано при установке ОС

на сервере Платформы IVA MCU в консоли управления появится строка <user_name>@<hostname>:~$_ для ввода команд управления, где <hostname> — имя сервера

Настройка удаленного доступа к Платформе IVA MCU по SSH по паролю

В целях безопасности не рекомендуется открывать удаленный доступ по SSH по паролю к Платформе IVA MCU

Чтобы настроить удаленный доступ по SSH к Платформе IVA MCU по паролю, необходимо:

войти в консоль управления сервера Платформы IVA MCU
открыть файл /sshd_config и разрешить / запретить удаленный доступ по SSH к серверу Платформы IVA MCU по паролю, выполнив команду:
```
sudo nano /etc/ssh/sshd_config
```
- раскомментировать параметр PasswordAuthentication
- установить необходимое значение параметра PasswordAuthentication — yes/no
сохранить и закрыть файл /sshd_config
сохранить изменения, выполнив команду:

Если Платформа IVA MCU установлена на сервер с ОС Astra Linux, то команду sudo iva-cli live save-changes выполнять не нужно
```
sudo iva-cli live save-changes
```
произвести рестарт сервиса sshd, выполнив команду:
```
sudo systemctl restart sshd
```
убедиться, что сервис успешно запущен, выполнив команду:

Если сервис остановлен, то необходимо проверить корректность выполненных действий
```
sudo systemctl status sshd
```

пример вывода команды:

ssh.service - OpenBSD Secure Shell server
    Loaded: loaded (/lib/systemd/system/ssh.service; enabled; preset: enabled)
   Drop-In: /usr/lib/systemd/system/ssh.service.d
            └─override.conf
    Active: active (running) since Mon 2025-01-27 11:42:36 MSK; 1 week 3 days ago
      Docs: man:sshd(8)
            man:sshd_config(5)
  Main PID: 1120 (sshd)
     Tasks: 1 (limit: 7042)
    Memory: 6.5M
       CPU: 1.355s
    CGroup: /system.slice/ssh.service
            └─1120 "sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups"

Отключение возможности подключения root пользователя по SSH

В Платформе IVA MCU без предварительной установки ОС (live-инсталляция), возможность подключения root пользователя по SSH по умолчанию выключена

Чтобы отключить возможность подключения root пользователя, необходимо в консоли SSH на каждом сервере выполнить следующие действия:

открыть файл /etc/ssh/sshd_config, выполнив команду:
```
sudo nano /etc/ssh/sshd_config
```
в файле найти параметр PermitRootLogin и убедиться, что напротив параметра стоит значение no. Если это не так, то изменить значение параметра на no. Если параметр закомментирован, необходимо раскомментировать его
сохранить изменение и закрыть файл
произвести рестарт сервиса sshd, выполнив команду:
```
sudo systemctl restart sshd
```
убедиться, что сервис успешно запущен, выполнив команду:

Если сервис остановлен, то необходимо проверить корректность выполненных действий
```
sudo systemctl status sshd
```

пример вывода команды:

ssh.service - OpenBSD Secure Shell server
    Loaded: loaded (/lib/systemd/system/ssh.service; enabled; preset: enabled)
   Drop-In: /usr/lib/systemd/system/ssh.service.d
            └─override.conf
    Active: active (running) since Mon 2025-01-27 11:42:36 MSK; 1 week 3 days ago
      Docs: man:sshd(8)
            man:sshd_config(5)
  Main PID: 1120 (sshd)
     Tasks: 1 (limit: 7042)
    Memory: 6.5M
       CPU: 1.355s
    CGroup: /system.slice/ssh.service
            └─1120 "sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups"

если изменение файла /etc/ssh/sshd_config было выполнено на сервере Платформы IVA MCU, не требующей предварительной установки ОС, то необходимо сохранить изменения, выполнив команду:
```
sudo iva-cli live save-changes
```

Первый вход в Платформу IVA MCU

Для входа в Платформу IVA MCU необходимо выполнить следующие действия:

открыть браузер
в адресной строке ввести IP-адрес / FQDN головного сервера Платформы IVA MCU. В случае отказоустойчивого кластера ввести <PUBLIC_IP> (подробнее см. Развертывание отказоустойчивого кластера с помощью утилиты iva-cli)

в окне Вход ввести логин и пароль администратора

Учетная запись по умолчанию

По умолчанию, если пароль и логин не изменялись:

логин: admin
пароль: admin

После первого входа для обеспечения безопасности Платформы IVA MCU необходимо изменить пароль для Администратора Платформы IVA MCU на более надежный. В противном случае Платформа IVA MCU становится уязвимой к несанкционированному доступу.

Рекомендуется создать новую учетную запись Администратора Платформы IVA MCU (с ролью Главный администратор системы и уровнем секретности совершенно секретно) и заблокировать учетную запись Администратора Платформы IVA MCU по умолчанию

нажать кнопку Войти, после чего откроется web-интерфейс Платформы IVA MCU

Вход в web-панель администрирования

Настройка и управление Платформой IVA MCU происходит при помощи web-панели администрирования.

Доступ к web-панели администрирования есть у пользователей Платформы IVA MCU, которые обладают правами Главного администратора системы или Администратора системы.

Чтобы перейти к настройкам и управлению Платформой IVA MCU, необходимо выполнить следующие действия:

войти в Платформу IVA MCU
в боковой панели навигации нажать на аватар пользователя и нажать кнопку Администрирование
web-панель администрирования Платформы IVA MCU

Проверка работоспособности модулей Платформы

Для проверки работоспособности модулей Платформы IVA MCU необходимо:

Войти в web-панель администрирования → Перейти в раздел Модули системы
убедиться, что напротив каждого модуля зеленым цветом отображается надпись active (enabled) / active (generated)

в случае если напротив модуля красным цветом отображается надпись inactive (enabled) / failed (enabled), необходимо нажать кнопку Рестарт

Если после перезапуска модуль продолжает отображаться красным цветом, следует обратиться в техническую поддержку компании IVA Technologies

Ограничение доступа к web-панели администрирования

По умолчанию доступ к web-панели администрирования возможен только при обращении с частных (внутренних) IP-адресов, что сделано для повышения безопасности Платформы IVA MCU.

При необходимости можно оставить только тот диапазон внутренних IP-адресов, который используется в организации, или ограничиться набором отдельных IP-адресов.

В целях безопасности рекомендуется установить ограничение доступа в web-панель администрирования для IP-адресов

Для изменения списка разрешенных адресов можно воспользоваться web-панелью администрирования после первого входа в Платформу IVA MCU.

По умолчанию разрешены все адреса из диапазонов: 127.0.0.0 — 127.255.255.255; 10.0.0.0 — 10.255.255.255; 172.16.0.0 — 172.31.255.255; 192.168.0.0 — 192.168.255.255

Для изменения списка разрешенных IP-адресов через web-панель администрирования необходимо выполнить следующие действия:

открыть web-панель администрирования
перейти в раздел Системные настройки и выбрать секцию Безопасность
в поле Разрешенные IP-адреса для доступа в администрирование указать IP-адреса и / или подсети, для которых будет открыт доступ к настройкам Платформы IVA MCU
сохранить изменения: Нажать кнопку Сохранить

После установки Платформы IVA MCU при использовании IP-адреса, не входящего в указанные выше диапазоны, доступ к web-панели администрирования будет ограничен. В этом случае необходимо добавить IP-адрес в список разрешенных с использованием консоли управления сервера.

Для изменения списка разрешенных IP-адресов в консоли управления выполнить команду:

sudo iva-cli backend admin-subnets add <ADMIN_ACCESS_IP_LIST>

где <ADMIN_ACCESS_IP_LIST> — диапазон IP-адресов (перечисляется через запятую без пробелов), с которых будет разрешен доступ в web-панели администрирования

После ввода команды вход в web-панель администрирования будет доступен с любого из разрешенных IP-адресов, включая подсети по умолчанию.