サービス構成
サービスは、以下で詳しく説明するように、さまざまな構成ファイルを編集して構成されます。この章を読み、必要に応じて設定を行います。
関連する設定ファイルの概要:
/etc/apache2/sites-available/netrounds-ssl.conf
/etc/apache2/sites-available/netrounds.conf
/etc/environment
/etc/netrounds/consolidated.yaml
/etc/netrounds/metrics.yaml
/etc/netrounds/netrounds.conf
/etc/netrounds/plugin.yaml
/etc/netrounds/probe-connect.conf
/etc/netrounds/restol.conf
/etc/netrounds/test-agent-gateway.yaml
/etc/netrounds/timescaledb.conf
/etc/openvpn/netrounds.conf
メイン設定ファイル
/etc/netrounds/netrounds.conf
このファイルには、サポートされているすべての設定のインライン ドキュメントと例が含まれています。この設定 SITE_URL
は、メールやレポートなど、コントロールセンターへの正しいURLを取得するために 常に変更する必要がある 設定です。
このファイルの設定の概要:
- 暗号化操作に使用される一意の秘密文字列
- コントロールセンターのウェブサーバーURL
- ユーザーのタイムゾーン;デフォルトは UTC です
- 送信メールの送信者名
- ユーザーに表示される連絡先メールアドレス
- メール送信の設定(バックエンド、ホストなど)
- ロギング設定(詳細については、 ロギングのセクションを参照してください)
- ログタグの最大長
- テストエージェントソフトウェアの自動更新の基準
- 時系列データの格納場所
- テストエージェントの認証に使用されるOpenVPN証明書とキーの保存場所
- 並列処理できるバックグラウンド タスク キューのタスクの数
SSL 証明書の構成
/etc/apache2/sites-available/netrounds-ssl.conf
この Apache 構成ファイルには、次の SSL 証明書設定とデフォルト値が含まれています。
SSLCertificateFile "/etc/ssl/certs/ssl-cert-snakeoil.pem" SSLCertificateKeyFile "/etc/ssl/private/ssl-cert-snakeoil.key"
このトピックに関する詳細な情報については、Apache のドキュメントを参照してください。
/etc/netrounds/test-agent-gateway.yaml
この構成ファイルには、テストエージェントアプリケーションがコントロールセンターに接続するために使用する、テストエージェントアプリケーションゲートウェイのSSL証明書設定が含まれています。
# Test Agent Application config file # Please run the command below to see available settings: # /usr/bin/test-agent-gateway-service --help # SSL certificates used by the web server. Defaults to snakeoil. ssl-cert: /etc/ssl/certs/ssl-cert-snakeoil.pem ssl-key: /etc/ssl/private/ssl-cert-snakeoil.key
デフォルトでは、上記のコードスニペットに見られるように、すべての場合にsnakeoilSSL証明書が使用されます。これらは、 ssl-cert
Ubuntuにプリインストールされているパッケージから作成されます。ただし、運用環境で暗号化された安全な接続を確保するには、代わりに適切な署名付き SSL 証明書を取得することを強くお勧めします。
Apache
/etc/apache2/sites-available/netrounds-ssl.conf
/etc/apache2/sites-available/netrounds.conf
これらのファイルはApacheの設定を保持します。
このトピックに関する詳細な情報については、Apache のドキュメントを参照してください。
結果を十分に認識していない限り、Apacheの設定ファイルを変更することは強くお勧めしません。不適切な変更を行うと、Paragon Active Assuranceの機能が失われる可能性があります。
タイムスケールDBの構成
TimescaleDB の構成方法については、 ドキュメント「TimescaleDB でのメトリックのクエリ」を参照してください。
プラグインサービスデータベースの設定
プラグインサービスデータベースは、
/etc/netrounds/plugin.yaml
OpenVPN キーの設定
OpenVPN キーの場所は、 で設定されます。
/etc/openvpn/netrounds.conf
変更を有効にするには、OpenVPNを再起動します。
HSTS の設定
/etc/netrounds/netrounds.conf
HTTP Strict Transport Security(HSTS)は、プロトコルダウングレード攻撃やCookieハイジャックからWebサイトを保護するのに役立つWebセキュリティポリシーメカニズムです。これにより、Webサーバーは、Webブラウザー(またはその他の準拠するユーザーエージェント)が安全なHTTPS接続を使用してのみ対話し、安全でないHTTPプロトコルを介して対話しないことを宣言できます。
サーバーは、HTTPS 接続を介してヘッダー(厳格トランスポートセキュリティ)を提供することにより、HSTS ポリシーを実装します。ヘッダーの経過時間は 1 時間に設定されます。
Paragon Active Assuranceでは、パフォーマンス上の理由からスピードテストページでHTTPが使用されるため、デフォルトではHSTSは無効になっています。スピードテストを使用していない場合は、以下の行のコメントを外してHSTSを有効にします。
# STRICT_TRANSPORT_SECURITY_HEADER = "max-age=3600; includeSubDomains"
コントロールセンターでHSTSを有効にできるようにする別の方法は、ドキュメントで説明されているように、別のWebサーバーでスピードテストをホストすることです カスタム スピードテストWebページの作成 。
REST API トークンの有効期間の設定
REST API トークンの有効期間は制限されており、既定では 10 年です。これは、ファイル /etc/netrounds/netrounds.conf
内のパラメータREST_TOKEN_LIFETIME
によって管理されます。
REST API を使用する場合は、このパラメーターの値を、ケースで必要なものに変更する必要があります。
アップグレードに関連して、コマンドを実行する前に ncc migrate
、既存のトークンに必要なライフタイム値を設定する必要があります。
REST API レートの制限
REST API のレート調整をファイルに適用できます
-
/etc/netrounds/restol.conf
- 設定
RATE_LIMIT_ENABLED
とRATE_LIMIT_DEFAULT
は、REST API 要求の調整に使用されます。調整を有効にするには、を設定しますRATE_LIMIT_ENABLED=True
。 - 次に、
RATE_LIMIT_DEFAULT
同じ IP アドレスからの API 要求の最大頻度を示すように設定を構成します。たとえば、はRATE_LIMIT_DEFAULT=30/second
、各 IP アドレスからの毎秒最大 30 の要求を許可します。レート制限は、秒、分、時間、または日ごとに設定できます。のようにRATE_LIMIT_DEFAULT=30/second,60/minute
、複数の制限を設定することもできます。 - 調整を無効にするには、を設定します
RATE_LIMIT_ENABLED=False
。
- 設定
パスワード強度の設定
コントロール・センターのユーザー・パスワードの デフォルトの パスワード強度要件は、以下のとおりです。 各パスワードには、次のものが含まれている必要があります。
- 合計 8 文字以上
- 少なくとも 1 桁の数字
- 少なくとも 1 つの大文字
- 少なくとも 1 つの小文字。
より厳しい要件のセットに切り替えることができます。これらによると、各パスワードには次のものが含まれている必要があります
- 合計 12 文字以上
- 少なくとも 1 桁の数字
- 少なくとも 1 つの大文字
- 少なくとも 1 つの小文字
- 少なくとも 1 つの特殊文字
また、文字が連続して 2 回出現してはなりません。
より厳しい要件を適用するには、ファイルで /etc/netrounds/netrounds.conf
次の設定を行います。
USER_PASSWORD_STRENGTH='strong'
(変数 USER_PASSWORD_STRENGTH
自体はデフォルトで構成ファイルに存在しないため、追加する必要があります)。この設定は、コントロールセンターで作成されたすべての新規ユーザーにグローバルに適用されます。