Astra Linux 2.12 Orel

35min
Установка менеджера паролей в Astra Linux Common Edition
1. Получение прав root и создание локальной базы данных пакетов
Shell
sudo -i
cd ~
nano /etc/apt/sources.list
sudo -i
cd ~
nano /etc/apt/sources.list
﻿
Добавляем строку:
Shell
deb https://mirror.yandex.ru/debian/ stretch main contrib non-free
deb https://mirror.yandex.ru/debian/ stretch main contrib non-free
﻿
Устанавливаем отпечатки для добавленного репозитория и обновляем пакеты.
Shell
apt-get install -y debian-archive-keyring dirmngr
apt-get update
apt-get install -y debian-archive-keyring dirmngr
apt-get update
﻿
Измените имя сервера на "passwork".
Shell
hostnamectl set-hostname passwork
hostnamectl set-hostname passwork
﻿
Установите сервисы для автоматической настройки и обнаружения в локальной сети.
Shell
apt-get install -y avahi-daemon libnss-mdns
apt-get install -y avahi-daemon libnss-mdns
﻿
Измените значение параметра AVAHI_DAEMON_DETECT_LOCAL с 1 на 0.
Shell
nano /etc/default/avahi-daemon
nano /etc/default/avahi-daemon
﻿
Приведите содержимое файла к виду:
Shell
AVAHI_DAEMON_DETECT_LOCAL = 0
AVAHI_DAEMON_DETECT_LOCAL = 0
﻿
Перезапустите avahi-daemon:
Shell
service avahi-daemon restart
service avahi-daemon restart
﻿
2. Установка Git и Apache2
Shell
apt-get install -y git apache2
apt-get install -y git apache2
﻿
3. Установка MongoDB
Импортируйте открытый ключ, используемый системой управления пакетами.
Shell
wget -qO - https://www.mongodb.org/static/pgp/server-4.2.asc | sudo apt-key add -
wget -qO - https://www.mongodb.org/static/pgp/server-4.2.asc | sudo apt-key add -
﻿
Создайте файл /etc/apt/sources.list.d/mongodb-org-4.2.list
Shell
echo "deb http://repo.mongodb.org/apt/debian stretch/mongodb-org/4.2 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.2.list
echo "deb http://repo.mongodb.org/apt/debian stretch/mongodb-org/4.2 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.2.list
﻿
Обновите локальную базу данных пакетов.
Shell
apt-get update
apt-get update
﻿
Установите последнюю стабильную версию MongoDB.
Shell
apt-get install -y mongodb-org
apt-get install -y mongodb-org
﻿
Запустите службу MongoDB.
Shell
service mongod start
service mongod start
﻿
Включите автозапуск службы mongod при загрузке системы.
Shell
systemctl enable mongod.service
systemctl enable mongod.service
﻿
4. Установка PHP 7
Shell
apt-get install -y apt-transport-https lsb-release ca-certificates
apt-get install -y apt-transport-https lsb-release ca-certificates
﻿
Astra Linux на момент написания данного руководства по установке, не содержит промежуточных сертификатов для Let’s encrypt, поэтому необходимо выполнить следующие действия:
Shell
apt install ca-certificates -y
sed -i -e 's|mozilla/DST_Root_CA_X3.crt|#mozilla/DST_Root_CA_X3.crt|g' /etc/ca-certificates.conf
sed -i -e 's|mozilla/ISRG_Root_X1.crt|#mozilla/ISRG_Root_X1.crt|g' /etc/ca-certificates.conf
wget https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/isrgrootx1.crt -P /usr/local/share/ca-certificates/
wget https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/lets-encrypt-r3.crt -P /usr/local/share/ca-certificates/
update-ca-certificates -f
apt install ca-certificates -y
sed -i -e 's|mozilla/DST_Root_CA_X3.crt|#mozilla/DST_Root_CA_X3.crt|g' /etc/ca-certificates.conf
sed -i -e 's|mozilla/ISRG_Root_X1.crt|#mozilla/ISRG_Root_X1.crt|g' /etc/ca-certificates.conf
wget https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/isrgrootx1.crt -P /usr/local/share/ca-certificates/
wget https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/lets-encrypt-r3.crt -P /usr/local/share/ca-certificates/
update-ca-certificates -f
﻿
Получите gpg ключ:
Shell
wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
﻿
Добавьте новый репозиторий в список источников:
Shell
echo "deb https://packages.sury.org/php/ stretch main" | sudo tee /etc/apt/sources.list.d/php.list
echo "deb https://packages.sury.org/php/ stretch main" | sudo tee /etc/apt/sources.list.d/php.list
﻿
Установка PHP и дополнительных расширений
Shell
apt-get update
apt-get upgrade и выбираем Y/Д.
apt-get install libssl1.1=1.1.0l-1~deb9u1 и выбираем Y/Д.
nano /etc/apt/sources.list
apt-get update
apt-get upgrade и выбираем Y/Д.
apt-get install libssl1.1=1.1.0l-1~deb9u1 и выбираем Y/Д.
nano /etc/apt/sources.list
﻿
Комментируем строку:
Shell
#deb https://download.astralinux.ru/astra/stable/orel/repository/ orel main contrib non-free
#deb https://download.astralinux.ru/astra/stable/orel/repository/ orel main contrib non-free
﻿
Shell
apt-get update
apt-get install -y php7.3 php7.3-json php7.3-dev php7.3-ldap php7.3-xml php7.3-bcmath php7.3-mbstring
apt-get update
apt-get install -y php7.3 php7.3-json php7.3-dev php7.3-ldap php7.3-xml php7.3-bcmath php7.3-mbstring
﻿
5. Установка PHP Mongo драйвера
Shell
apt-get install apt-transport-https lsb-release ca-certificates
На первый вопрос выбираем Y/Д, на втором нажимаем Enter.
apt-get install -y pkg-config
pecl install mongodb
echo "extension=mongodb.so" | tee /etc/php/7.3/apache2/conf.d/20-mongodb.ini
apt-get install apt-transport-https lsb-release ca-certificates
На первый вопрос выбираем Y/Д, на втором нажимаем Enter.
apt-get install -y pkg-config
pecl install mongodb
echo "extension=mongodb.so" | tee /etc/php/7.3/apache2/conf.d/20-mongodb.ini
﻿
6. Установка Phalcon PHP фреймворка
Shell
git clone --branch 3.4.x  --depth=1 "https://github.com/phalcon/cphalcon.git"
cd cphalcon/build
./install
echo "extension=phalcon.so" | tee /etc/php/7.3/apache2/conf.d/20-phalcon.ini
service apache2 restart
git clone --branch 3.4.x  --depth=1 "https://github.com/phalcon/cphalcon.git"
cd cphalcon/build
./install
echo "extension=phalcon.so" | tee /etc/php/7.3/apache2/conf.d/20-phalcon.ini
service apache2 restart
﻿
7. Загрузка и установка Passwork
Клонируйте репозиторий используя ваш логин и пароль.
﻿
Установите права доступа на папки и файлы.
Shell
find /var/www/ -type d -exec chmod 755 {} \;
find /var/www/ -type f -exec chmod 644 {} \;
chown -R www-data:www-data /var/www/
find /var/www/ -type d -exec chmod 755 {} \;
find /var/www/ -type f -exec chmod 644 {} \;
chown -R www-data:www-data /var/www/
﻿
Восстановление и конфигурация Apache2
💡 Система запросит логин и пароль к репозиторию, которые вы можете найти в вашем клиентом портале Пассворка. Если у вас нет доступа к клиентскому порталу — свяжитесь с нами.
﻿
Открываем файл настройки репозитория.
Shell
nano /etc/apt/sources.list
nano /etc/apt/sources.list
﻿
Убираем знак комментария у строки представленной ниже.
Shell
deb https://download.astralinux.ru/astra/stable/orel/repository/ orel main contrib non-free
deb https://download.astralinux.ru/astra/stable/orel/repository/ orel main contrib non-free
﻿
Обновляем пакеты и переустанавливаем Apache.
Shell
apt-get update
apt-get install -y apache2
apt-get update
apt-get install -y apache2
﻿
Выключаем ненужные модули и включаем необходимые. Указываем какую версию PHP будет использовать Apache. В процессе перезагрузки сервиса могут появляться ошибки, их можно игнорировать.
Shell
a2dismod mpm_event
systemctl restart apache2
a2enmod mpm_prefork
systemctl restart apache2
a2enmod php7.3
systemctl restart apache2
update-alternatives --set php /usr/bin/php7.3
systemctl restart apache2
a2dismod mpm_event
systemctl restart apache2
a2enmod mpm_prefork
systemctl restart apache2
a2enmod php7.3
systemctl restart apache2
update-alternatives --set php /usr/bin/php7.3
systemctl restart apache2
﻿
Откройте конфигурационный файл Apache.
Shell
nano /etc/apache2/sites-enabled/000-default.conf
nano /etc/apache2/sites-enabled/000-default.conf
﻿
Приведите содержимое файла к следующему виду:
Shell
<VirtualHost *:80>
    #ServerName .....
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/public
    <Directory /var/www/public>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
<VirtualHost *:80>
    #ServerName .....
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/public
    <Directory /var/www/public>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
﻿
Включите rewrite модуль и перезапустите Apache.
Shell
a2enmod rewrite
service apache2 restart
a2enmod rewrite
service apache2 restart
﻿
Откройте http://passwork.local или http://127.0.0.1 для доступа к вебсайту.
8. Инсталляция
При первом открытии Пассворк вы увидите диалог инсталляции, который проверит корректность настройки сервера и позволит ввести базовые параметры.
💡 Оставьте все поля в значениях по умолчанию, если вы устанавливаете новую копию Пассворк.
Зарегистрируйте администратора Пассворк
Введите логин и пароль для первого пользователя. Пользователь автоматически станет администратором и владельцем организации.
9. Создание SSL сертификата.
Для настройки SSL необходимо изменить параметр disableSameSiteCookie в файле /var/www/app/config/config.ini:
Shell
disableSameSiteCookie = Off
disableSameSiteCookie = Off
﻿
Активируйте SSL модуль Apache.
Shell
a2enmod ssl
a2enmod ssl
﻿
Активируйте стандартную конфигурацию SSL.
Shell
a2ensite default-ssl
a2ensite default-ssl
﻿
Перезапустите Apache для того, чтобы изменения вступили в силу.
Shell
service apache2 restart
service apache2 restart
﻿
Создайте новую директорию для хранения закрытого ключа и сертификата.
Shell
mkdir /etc/apache2/ssl
mkdir /etc/apache2/ssl
﻿
Создайте новый сертификат и закрытый ключ для его защиты.
Shell
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj '/CN=your.domain.name' -addext 'subjectAltName=DNS: your.domain.name' -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj '/CN=your.domain.name' -addext 'subjectAltName=DNS: your.domain.name' -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
﻿
Вызов этой команды приведет к серии запросов.
Common Name: Укажите IP-адрес вашего сервера или имя хоста. Это поле имеет значение, так как ваш сертификат должен соответствовать домену (или IP-адресу) для вашего веб-сайта.
Заполните все остальные поля по своему усмотрению.
Ниже приведены примеры ответов.
Shell
Interactive
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
——
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Example
Locality Name (eg, city) []:Example
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Example Dept
Common Name (e.g. server FQDN or YOUR name) []:passwork.local
Email Address []:test@passwork.local
Interactive
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
——
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Example
Locality Name (eg, city) []:Example
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Example Dept
Common Name (e.g. server FQDN or YOUR name) []:passwork.local
Email Address []:test@passwork.local
﻿
Установите права доступа для защиты закрытого ключа и сертификата.
Shell
chmod 600 /etc/apache2/ssl/*
chmod 600 /etc/apache2/ssl/*
﻿
Ваш сертификат и закрытый ключ, который его защищает, готовы для использования с Apache.
10.Настройка продукта для корректной работы в Chrome с SSL
При работе через SSL-соединение (HTTPS) браузер Chrome требует наличия флагов Secure и SameSite у cookie. Без этих флагов браузер не будет принимать куки, и  вы не сможете авторизоваться в Пассворке в Chrome.
Для того чтобы установить эти флаги, включите параметр session.cookie_secure в файле /etc/php/7.3/apache2/php.ini:
Shell
session.cookie_secure = On
session.cookie_secure = On
﻿
И установите параметр disableSameSiteCookie (секция [application])в файле /var/www/app/config/config.ini в значение Off.
Shell
disableSameSiteCookie = Off
disableSameSiteCookie = Off
﻿
💡 Не устанавливайте эти параметры или верните их в исходное значение, если вы передумаете использовать SSL и будете работать через HTTP-протокол
11. Настройка Apache для использования SSL-соединения
Откройте конфигурационный файл SSL в текстовом редакторе.
Shell
nano /etc/apache2/sites-enabled/default-ssl.conf
nano /etc/apache2/sites-enabled/default-ssl.conf
﻿
Найдите раздел, начинающийся с <VirtualHost _default_:443> и внесите следующие изменения.
Добавьте строку с директивой имени сервера под строкой ServerAdmin. Это может быть ваше доменное имя или IP-адрес:
Shell
ServerAdmin webmaster@localhost
ServerName passwork.local:443
ServerAdmin webmaster@localhost
ServerName passwork.local:443
﻿
Добавьте директиву “Directory” после “ServerName”.
Shell
<Directory /var/www/public>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
<Directory /var/www/public>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
﻿
Найдите следующие две строки и обновите пути к файлам, соответствующие местоположению сертификата и ключа, которые мы создали ранее. Если вы приобрели сертификат или создали свой сертификат в другом месте, убедитесь, что путь к файлу соответствует фактическому местоположению вашего сертификата и ключа:
Shell
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
﻿
После внесения изменений проверьте, что ваш файл конфигурации виртуального хоста соответствует примеру ниже.
Shell
<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        ServerAdmin webmaster@localhost
        ServerName passwork.local:443
        DocumentRoot /var/www/public
        <Directory /var/www/public>
            Options Indexes FollowSymLinks MultiViews
            AllowOverride All
            Order allow,deny
            allow from all
        </Directory>
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apache.crt
        SSLCertificateKeyFile /etc/apache2/ssl/apache.key
    </VirtualHost>
</IfModule>
<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        ServerAdmin webmaster@localhost
        ServerName passwork.local:443
        DocumentRoot /var/www/public
        <Directory /var/www/public>
            Options Indexes FollowSymLinks MultiViews
            AllowOverride All
            Order allow,deny
            allow from all
        </Directory>
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apache.crt
        SSLCertificateKeyFile /etc/apache2/ssl/apache.key
    </VirtualHost>
</IfModule>
﻿
Перезапустите Apache, чтобы изменения вступили в силу.
Shell
service apache2 restart
service apache2 restart
﻿
Проверьте SSL-соединение, откройте ссылку https://passwork.local.