12.5.3. Настройка управления устройством

12.5.3.1. Настройка Radmin-emergency

Команда включения/отключения удалённого доступа к серверу для технической поддержки в случаях, когда сервер UserGate завис:

Admin@UGOS# set settings device-mgmt diagnostic radmin-emergency <on | off>

Далее необходимо указать параметры:

Параметр

Описание

interface

Название интерфейса.

ip-addr

IP-адрес и маска интерфейса.

gateway-address

IP-адрес шлюза.

В случаях, когда произошла проблема с ядром UserGate, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI под учетной записью корневого администратора, которая была создана при инициализации UserGate. Обычно это учетная запись Admin, хотя может быть и другой. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля - пароль корневого администратора.

12.5.3.2. Настройка диагностики

Параметры диагностики сервера, необходимые службе технической поддержки при решении проблем, задаются на уровне device-mgmt diagnostic. Текущие настройки можно просмотреть с использованием команды:

Admin@UGOS# show settings device-mgmt diagnostic

На уровне settings device-mgmt diagnostic radmin можно включить или отключить удалённый доступ к серверу для технической поддержки UserGate (Radmin). Команда включения/отключения Radmin:

Admin@UGOS# set settings device-mgmt diagnostic radmin <on | off>

Для просмотра состояния Radmin:

Admin@UGOS# show settings device-mgmt diagnostic radmin

На уровне settings device-mgmt diagnostic details с помощью следующей команды можно установить необходимы уровень детализации диагностики (отключено; только ошибки; ошибки и предупреждения; ошибки, предупреждения и дополнительная информация; максимум детализации):

Admin@UGOS# set settings device-mgmt diagnostic details <off | error | warning | info | debug>

Для просмотра состояния уровня детализации диагностики:

Admin@UGOS# show settings device-mgmt diagnostic details

12.5.3.3. Настройка операций с сервером

Следующая команда позволяет определить канал обновлений:

Admin@UGOS# set settings device-mgmt updates-channel <stable | beta>

Для просмотра наличия обновлений и выбранного канал обновления используется команда:

Admin@UGOS# show settings device-mgmt updates-channel


12.5.3.4. Экспорт настроек

Создание и настройка правил экспорта настроек происходит на уровне settings device-mgmt settings-export.

Для создания правила экспорта настроек:

Admin@UGOS# create settings device-mgmt settings-export

Доступны параметры:

Параметр

Описание

enabled

Включение/отключение правила экспорта настроек сервера UserGate.

name

Название правила экспорта.

description

Описание правила экспорта.

type

Выбор удалённого сервера для экспорта настроек:

  • ssh.

  • ftp.

address

IP-адрес удалённого сервера.

port

Порт сервера.

login

Учётная запись на удалённом сервере.

password

Пароль учётной записи.

path

Путь на сервере, куда будут выгружены настройки.

schedule

Расписание экспорта настроек.

Время задаётся в Crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 - вс). Каждое из поле может быть задано следующим образом:

  • Звездочка (*) - обозначает весь диапазон (от первого до последнего).

  • Дефис (-) - обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

Обновление существующего правила экспорта настроек сервера UserGate производится с использованием следующей команды:

Admin@UGOS# set settings device-mgmt settings-export <rule-name>

Список параметров, доступных для изменения аналогичен списку параметров, доступных при создании правила.

Команда для удаления правила экспорта настроек:

Admin@UGOS# delete settings device-mgmt settings-export <rule-name>

Команда для отображения правила экспорта настроек:

Admin@UGOS# show settings device-mgmt settings-export <rule-name>

Также, для команд обновления, удаления или отображения правил в качестве <filter> возможно использование не только названия правила, но и заданные в существующем правиле параметры (удобно, например, при наличии нескольких правил с одинаковым названием). Параметры, с использованием которых можно произвести идентификацию правила экспорта, аналогичны параметрам команды set.

12.5.3.5. Настройка защиты конфигурации от изменений

Для настройки параметров защиты конфигурации (настроек) продукта от изменения используйте следующую команду:

Admin@UGOS# set settings change-control config <off | log | block>

Проверка целостности конфигурации происходит каждые несколько минут после загрузки UserGate.

  • log -- активирует режим отслеживания изменений конфигурации. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

  • off -- отключает режим отслеживания изменений конфигурации. Требует указания пароля, который был задан при активации режима отслеживания конфигурации.

  • block -- активирует режим отслеживания изменений конфигурации. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate.

Перед активацией защиты конфигурации администратор производит настройку продукта в соответствии с требованиями организации, после чего "замораживает" настройки (режим log или block). Любое изменение настроек через веб-интерфейс, CLI или другими способами будет приводить к журналированию и/или блокировке транзитного трафика, в зависимости от выбранного режима.

Для просмотра текущего режима защиты конфигурации от изменений:

Admin@UGOS# show settings change-control config

12.5.3.6. Настройка защиты исполняемых файлов от изменения

Чтобы настроить защиту параметры защиты исполняемого кода продукта от потенциального несанкционированного изменения:

Admin@UGOS# set settings change-control code <off | log | block>

Проверка целостности исполняемого кода происходит каждый раз после загрузки UserGate

  • log - активирует режим отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

  • off - отключает режим отслеживания несанкционированных изменений исполняемого кода. Требует указания пароля, который был задан при активации режима отслеживания исполняемого кода.

  • block - активирует режим отслеживания несанкционированных изменений исполняемого кода. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для возможности отключения созданного правила межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.

Для просмотра текущего режима защиты исполняемых файлов:

Admin@UGOS# show settings change-control code