サービス構成

サービスは、以下で詳しく説明するように、さまざまな構成ファイルを編集して構成されます。この章を読み、必要に応じて設定を行います。

関連する設定ファイルの概要:

/etc/apache2/sites-available/netrounds-ssl.conf
/etc/apache2/sites-available/netrounds.conf
/etc/environment
/etc/netrounds/consolidated.yaml
/etc/netrounds/metrics.yaml
/etc/netrounds/netrounds.conf
/etc/netrounds/plugin.yaml
/etc/netrounds/probe-connect.conf
/etc/netrounds/restol.conf
/etc/netrounds/test-agent-gateway.yaml
/etc/netrounds/timescaledb.conf
/etc/openvpn/netrounds.conf

メイン設定ファイル

/etc/netrounds/netrounds.conf

このファイルには、サポートされているすべての設定のインラインドキュメントと例が含まれています。この設定 SITE_URL は、メールやレポートなど、コントロールセンターへの正しいURLを取得するために 常に変更する必要がある 設定です。

このファイルの設定の概要:

暗号化操作に使用される一意の秘密文字列
コントロールセンターのウェブサーバーURL
ユーザーのタイムゾーン;デフォルトは UTC です
送信メールの送信者名
ユーザーに表示される連絡先メールアドレス
メール送信の設定(バックエンド、ホストなど)
ロギング設定(詳細については、ロギングのセクションを参照してください)
ログタグの最大長
テストエージェントソフトウェアの自動更新の基準
時系列データの格納場所
テストエージェントの認証に使用されるOpenVPN証明書とキーの保存場所
並列処理できるバックグラウンドタスクキューのタスクの数

SSL 証明書の構成

/etc/apache2/sites-available/netrounds-ssl.conf

この Apache 構成ファイルには、次の SSL 証明書設定とデフォルト値が含まれています。

このトピックに関する詳細な情報については、Apache のドキュメントを参照してください。

/etc/netrounds/test-agent-gateway.yaml

この構成ファイルには、テストエージェントアプリケーションがコントロールセンターに接続するために使用する、テストエージェントアプリケーションゲートウェイのSSL証明書設定が含まれています。

デフォルトでは、上記のコードスニペットに見られるように、すべての場合にsnakeoilSSL証明書が使用されます。これらは、 ssl-cert Ubuntuにプリインストールされているパッケージから作成されます。ただし、運用環境で暗号化された安全な接続を確保するには、代わりに適切な署名付き SSL 証明書を取得することを強くお勧めします。

Apache

/etc/apache2/sites-available/netrounds-ssl.conf
/etc/apache2/sites-available/netrounds.conf

これらのファイルはApacheの設定を保持します。

このトピックに関する詳細な情報については、Apache のドキュメントを参照してください。

メモ：

結果を十分に認識していない限り、Apacheの設定ファイルを変更することは強くお勧めしません。不適切な変更を行うと、Paragon Active Assuranceの機能が失われる可能性があります。

タイムスケールDBの構成

TimescaleDB の構成方法については、ドキュメント「TimescaleDB でのメトリックのクエリ」を参照してください。

プラグインサービスデータベースの設定

プラグインサービスデータベースは、

/etc/netrounds/plugin.yaml

OpenVPN キーの設定

OpenVPN キーの場所は、で設定されます。

/etc/openvpn/netrounds.conf

変更を有効にするには、OpenVPNを再起動します。

HSTS の設定

/etc/netrounds/netrounds.conf

HTTP Strict Transport Security(HSTS)は、プロトコルダウングレード攻撃やCookieハイジャックからWebサイトを保護するのに役立つWebセキュリティポリシーメカニズムです。これにより、Webサーバーは、Webブラウザー(またはその他の準拠するユーザーエージェント)が安全なHTTPS接続を使用してのみ対話し、安全でないHTTPプロトコルを介して対話しないことを宣言できます。

サーバーは、HTTPS 接続を介してヘッダー(厳格トランスポートセキュリティ)を提供することにより、HSTS ポリシーを実装します。ヘッダーの経過時間は 1 時間に設定されます。

メモ：

Paragon Active Assuranceでは、パフォーマンス上の理由からスピードテストページでHTTPが使用されるため、デフォルトではHSTSは無効になっています。スピードテストを使用していない場合は、以下の行のコメントを外してHSTSを有効にします。

コントロールセンターでHSTSを有効にできるようにする別の方法は、ドキュメントで説明されているように、別のWebサーバーでスピードテストをホストすることですカスタムスピードテストWebページの作成。

REST API トークンの有効期間の設定

REST API トークンの有効期間は制限されており、既定では 10 年です。これは、ファイル /etc/netrounds/netrounds.conf内のパラメータREST_TOKEN_LIFETIMEによって管理されます。

REST API を使用する場合は、このパラメーターの値を、ケースで必要なものに変更する必要があります。

メモ：

アップグレードに関連して、コマンドを実行する前に ncc migrate 、既存のトークンに必要なライフタイム値を設定する必要があります。

REST API レートの制限

REST API のレート調整をファイルに適用できます

/etc/netrounds/restol.conf
- 設定 RATE_LIMIT_ENABLED と RATE_LIMIT_DEFAULT は、REST API 要求の調整に使用されます。調整を有効にするには、を設定します RATE_LIMIT_ENABLED=True。
- 次に、 RATE_LIMIT_DEFAULT 同じ IP アドレスからの API 要求の最大頻度を示すように設定を構成します。たとえば、は RATE_LIMIT_DEFAULT=30/second 、各 IP アドレスからの毎秒最大 30 の要求を許可します。レート制限は、秒、分、時間、または日ごとに設定できます。のように RATE_LIMIT_DEFAULT=30/second,60/minute、複数の制限を設定することもできます。
- 調整を無効にするには、を設定します RATE_LIMIT_ENABLED=False。

パスワード強度の設定

コントロール・センターのユーザー・パスワードの デフォルトの パスワード強度要件は、以下のとおりです。各パスワードには、次のものが含まれている必要があります。

合計 8 文字以上
少なくとも 1 桁の数字
少なくとも 1 つの大文字
少なくとも 1 つの小文字。

より厳しい要件のセットに切り替えることができます。これらによると、各パスワードには次のものが含まれている必要があります

合計 12 文字以上
少なくとも 1 桁の数字
少なくとも 1 つの大文字
少なくとも 1 つの小文字
少なくとも 1 つの特殊文字

また、文字が連続して 2 回出現してはなりません。

より厳しい要件を適用するには、ファイルで /etc/netrounds/netrounds.conf次の設定を行います。

(変数 USER_PASSWORD_STRENGTH 自体はデフォルトで構成ファイルに存在しないため、追加する必要があります)。この設定は、コントロールセンターで作成されたすべての新規ユーザーにグローバルに適用されます。