Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

服务配置

通过编辑各种配置文件来配置服务,如下所述。阅读本章并根据需要配置设置。

相关配置文件摘要:

  • /etc/apache2/sites-available/netrounds-ssl.conf
  • /etc/apache2/sites-available/netrounds.conf
  • /etc/environment
  • /etc/netrounds/consolidated.yaml
  • /etc/netrounds/metrics.yaml
  • /etc/netrounds/netrounds.conf
  • /etc/netrounds/plugin.yaml
  • /etc/netrounds/probe-connect.conf
  • /etc/netrounds/restol.conf
  • /etc/netrounds/test-agent-gateway.yaml
  • /etc/netrounds/timescaledb.conf
  • /etc/openvpn/netrounds.conf

主设置文件

  • /etc/netrounds/netrounds.conf

此文件包含所有受支持设置的内联文档和示例。该 SITE_URL 设置始终 需要修改 才能获得指向“控制中心”的正确 URL,例如在电子邮件和报告中。

此文件中的设置摘要:

  • 用于加密操作的唯一机密字符串
  • 控制中心 Web 服务器 URL
  • 用户时区;默认值为 UTC
  • 传出电子邮件中的发件人姓名
  • 向用户显示的联系电子邮件地址
  • 发送电子邮件的设置(后端、主机等)
  • 日志记录配置(有关详细信息,请参阅 日志记录部分)
  • 日志标签的最大长度
  • 测试代理软件自动更新的标准
  • 时序数据的存储位置
  • 用于对测试代理进行身份验证的 OpenVPN 证书和密钥的存储位置
  • 后台任务队列中可以并行处理的任务数

SSL 证书配置

  • /etc/apache2/sites-available/netrounds-ssl.conf

此 Apache 配置文件包含以下 SSL 证书设置,默认值如下所示:

有关此主题的详尽信息,请参阅 Apache 文档。

  • /etc/netrounds/test-agent-gateway.yaml

此配置文件包含测试代理应用程序网关的 SSL 证书设置,测试代理应用程序使用该网关连接到控制中心。

默认情况下,在所有情况下都使用蛇油SSL证书,如上面的代码片段所示。这些是从预装在 Ubuntu 中的软件包创建的 ssl-cert 。但是,为了确保在生产环境中建立加密和安全的连接,强烈建议您获取适当的签名 SSL 证书。

Apache

  • /etc/apache2/sites-available/netrounds-ssl.conf
  • /etc/apache2/sites-available/netrounds.conf

这些文件包含 Apache 设置。

有关此主题的详尽信息,请参阅 Apache 文档。

注意:

强烈建议不要更改 Apache 配置文件,除非您完全了解后果。不适当的更改可能会破坏 Paragon Active Assurance 功能。

时间刻度数据库配置

如何在 TimescaleDB 中查询指标一文中介绍了如何配置 TimescaleDB。

插件服务数据库配置

插件服务数据库在

  • /etc/netrounds/plugin.yaml

OpenVPN 密钥的配置

OpenVPN 密钥的位置在

  • /etc/openvpn/netrounds.conf

重新启动 OpenVPN 以使任何更改生效。

HSTS 配置

  • /etc/netrounds/netrounds.conf

HTTP 严格传输安全 (HSTS) 是一种 Web 安全策略机制,有助于保护网站免受协议降级攻击和 cookie 劫持。它允许 Web 服务器声明 Web 浏览器(或其他合规用户代理)应仅使用安全的 HTTPS 连接与其交互,而绝不应通过不安全的 HTTP 协议进行交互。

服务器通过 HTTPS 连接提供标头(严格传输安全性)来实现 HSTS 策略。标头期限设置为一小时。

注意:

默认情况下,HSTS 在 Paragon Active Assurance 中处于禁用状态,因为 Speedtest 页面出于性能原因使用 HTTP。如果您不使用速度测试,请取消注释以下行以启用 HSTS。

允许在控制中心启用 HSTS 的另一种方法是在单独的 Web 服务器上托管 Speedtest,如文档 创建自定义 Speedtest 网页中所述。

配置 REST API 令牌的生存期

REST API 令牌的生存期有限,默认为 10 年。这由文件中/etc/netrounds/netrounds.conf的参数REST_TOKEN_LIFETIME控制。

如果您打算使用 REST API,则可能需要将此参数的值更改为您的情况所需的任何值。

注意:

对于升级,您需要在运行 ncc migrate 命令之前为现有令牌设置所需的生存期值。

限制 REST API 速率

可以在文件中应用 REST API 速率限制

  • /etc/netrounds/restol.conf

    • 这些设置 RATE_LIMIT_ENABLEDRATE_LIMIT_DEFAULT 用于限制 REST API 请求。要启用限制,请设置 RATE_LIMIT_ENABLED=True
    • 然后配置该 RATE_LIMIT_DEFAULT 设置以指示来自同一 IP 地址的 API 请求的最大频率。例如, RATE_LIMIT_DEFAULT=30/second 每秒最多允许来自每个 IP 地址的 30 个请求。速率限制可以设置为每秒、分钟、小时或天。也可以设置多个限制,如 中 RATE_LIMIT_DEFAULT=30/second,60/minute所示。
    • 要禁用限制,请设置 RATE_LIMIT_ENABLED=False

配置密码强度

控制中心用户密码 的默认 密码强度要求如下: 每个密码必须包含

  • 总共至少 8 个字符
  • 至少一位数字
  • 至少一个大写字母
  • 至少一个小写字母。

可以切换到一组 更严格的 要求。根据这些,每个密码必须包含

  • 总共至少 12 个字符
  • 至少一位数字
  • 至少一个大写字母
  • 至少一个小写字母
  • 至少一个特殊字符

并且也不得有任何字符连续出现两次。

若要强制实施更严格的要求,请在文件中 /etc/netrounds/netrounds.conf进行以下设置:

(您需要添加变量 USER_PASSWORD_STRENGTH 本身,因为默认情况下它在配置文件中不存在。此设置全局应用于在“控制中心”中创建的所有新用户。