サービス構成

サービスは、以下で詳しく説明するように、さまざまな構成ファイルを編集することによって構成されます。この章を読み、必要に応じて設定を構成します。

手記：

さまざまな設定ファイルを編集した後、新しい設定が適用されるように、 sudo ncc services restart コマンドを実行してすべてのサービスを再起動する必要があります。

関連する設定ファイルの概要:

/etc/apache2/sites-available/netrounds-ssl.conf
/etc/apache2/sites-available/netrounds.conf
/etc/environment
/etc/netrounds/consolidated.yaml
/etc/netrounds/metrics.yaml
/etc/netrounds/netrounds.conf
/etc/netrounds/plugin.yaml
/etc/netrounds/probe-connect.conf
/etc/netrounds/restol.conf
/etc/netrounds/test-agent-gateway.yaml
/etc/netrounds/timescaledb.conf
/etc/openvpn/netrounds.conf

メイン設定ファイル

/etc/netrounds/netrounds.conf

このファイルには、サポートされているすべての設定のインラインドキュメントと例が含まれています。 SITE_URL 設定は、メールやレポートなどで、コントロールセンターへの正しいURLを取得するために 常に変更する必要がある 設定です。

このファイルの設定の概要:

暗号化操作に使用される一意のシークレット文字列
コントロールセンターのWebサーバーURL
ユーザーのタイムゾーン。既定値は UTC です
送信メールの送信者名
ユーザーに表示される連絡先のメールアドレス
メール送信の設定(バックエンド、ホストなど)
ロギング設定(詳細については、「ロギング」セクションを参照してください)
ログタグの最大長
テストエージェントソフトウェアの自動更新の基準
時系列データの保存場所
テストエージェントの認証に使用されるOpenVPN証明書とキーの保存場所
バックグラウンドタスクキューから並行して処理できるタスクの数

SSL 証明書の構成

/etc/apache2/sites-available/netrounds-ssl.conf

このApache構成ファイルには、次のSSL 証明設定が含まれており、デフォルト値は次のとおりです。

このトピックに関する完全な情報については、Apache のドキュメントを参照してください。

/etc/netrounds/test-agent-gateway.yaml

この構成ファイルには、テスト・エージェント・アプリケーションがコントロール・センターに接続するために使用するテスト・エージェント・アプリケーション・ゲートウェイのSSL 証明設定が含まれています。

デフォルトでは、上記のコードスニペットに見られるように、snakeoilSSL証明書がすべての場合に使用されます。これらは、Ubuntuにプリインストールされている ssl-cert パッケージから作成されます。ただし、本番環境で暗号化された安全な接続を確保するために、代わりに適切な署名付きSSL証明書を取得することを強くお勧めします。

アパッシュ

/etc/apache2/sites-available/netrounds-ssl.conf
/etc/apache2/sites-available/netrounds.conf

これらのファイルにはApacheの設定が保持されています。

このトピックに関する完全な情報については、Apache のドキュメントを参照してください。

手記：

その結果を十分に認識していない限り、Apache設定ファイルを変更することは強くお勧めしません。不適切な変更により、Paragon Active Assuranceの機能が損なわれる可能性があります。

タイムスケールDBの構成

TimescaleDB の構成方法については、ドキュメント「 TimescaleDB でのメトリックのクエリ」を参照してください。

プラグイン・サービス・データベース構成

プラグインサービスデータベースは、

/etc/netrounds/plugin.yaml

OpenVPNキーの設定

OpenVPN キーの場所は、

/etc/openvpn/netrounds.conf

変更を有効にするには、OpenVPNを再起動します。

HSTS の構成

/etc/netrounds/netrounds.conf

HTTP Strict Transport Security(HSTS)は、プロトコルダウングレード攻撃やCookieハイジャックからWebサイトを保護するのに役立つWebセキュリティポリシーメカニズムです。これにより、Webサーバーは、Webブラウザ(またはその他の準拠するユーザーエージェント)が安全なHTTPS接続を使用してのみ対話し、安全でないHTTPプロトコルを介して対話しないことを宣言できます。

サーバーは、HTTPS接続を介してヘッダー(Strict-Transport-Security)を提供することで、HSTSポリシーを実装します。ヘッダーの経過時間は 1 時間に設定されます。

手記：

デフォルトでは、Speedtestページはパフォーマンス上の理由からHTTPを使用しているため、Paragon Active AssuranceではHSTSは無効になっています。Speedtestを使用していない場合は、以下の行のコメントを解除してHSTSを有効にします。

コントロールセンターでHSTSを有効にする別の方法は、ドキュメント「カスタムSpeedtest Webページの作成」で説明されているように、別のWebサーバーでSpeedtestをホストすることです。

REST APIトークンの有効期間の設定

REST API トークンの有効期間は制限されており、既定では 10 年です。これは、ファイル/etc/netrounds/netrounds.confでREST_TOKEN_LIFETIMEパラメーターによって制御されます。

REST API を使用する場合は、このパラメーターの値をケースで必要な値に変更する必要があります。

手記：

アップグレードに関連して、 ncc migrate コマンドを実行する前に、既存のトークンに必要なライフタイム値を設定する必要があります。

REST API レートの制限

ファイルで REST API レート調整を適用できます

/etc/netrounds/restol.conf
- 設定 RATE_LIMIT_ENABLED と RATE_LIMIT_DEFAULT は、REST API 要求の調整に使用されます。調整を有効にするには、 RATE_LIMIT_ENABLED=Trueを設定します。
- 次に、同じ IP アドレスからの API 要求の最大頻度を示すように RATE_LIMIT_DEFAULT 設定を構成します。たとえば、 RATE_LIMIT_DEFAULT=30/second では、各 IP アドレスから毎秒最大 30 件の要求が許可されます。レート制限は、秒、分、時間、または日ごとに設定できます。また、 RATE_LIMIT_DEFAULT=30/second,60/minuteのように複数の制限を設定することも可能です。
- 調整を無効にするには、 RATE_LIMIT_ENABLED=Falseを設定します。

パスワード強度の設定

コントロールセンターのユーザーパスワードの デフォルトの パスワード強度要件は次のとおりです。各パスワードには、次のものが含まれている必要があります

合計 8 文字以上
少なくとも 1 桁の数字
少なくとも 1 つの大文字
少なくとも 1 つの小文字。

より厳しい要件に切り替えることが可能です。これらによると、各パスワードには次のものが含まれている必要があります

合計 12 文字以上
少なくとも 1 桁の数字
少なくとも 1 つの大文字
少なくとも 1 つの小文字
少なくとも 1 つの特殊文字

また、文字が 2 回連続して出現してはなりません。

より厳しい要件を適用するには、ファイル /etc/netrounds/netrounds.confで次の設定を行います。

(変数 USER_PASSWORD_STRENGTH 自体はデフォルトでは構成ファイルに存在しないため、追加する必要があります。この設定は、コントロールセンターで作成されたすべての新規ユーザーにグローバルに適用されます。