http://edu.citis.ru/userguide/api.php?action=feedcontributions&feedformat=atom&user=A.tolmachev
Справочная информация по работе с СЭД - Вклад участника [ru]
2026-04-23T21:37:56Z
Вклад участника
MediaWiki 1.30.0
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=977
Установка sed на Astra Смоленск 1.6
2023-02-17T17:03:42Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
sudo apt-get install git<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
sudo mkdir /var/www/sed-citis<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
sudo apt install php7.3 libapache2-mod-php7.3<br />
sudo apt-get install php7.3-curl php7.3-gd php7.3-ldap php7.3-pgsql php7.3-mbstring php7.3-zip php7.3-imagick php7.3-imap php7.3-intl php7.3-xmlrpc php7.3-xml<br />
sudo apt-get install php-xdebug7.3 (устанавливается только на машине разработчика)<br />
Для установки php7.3-soap необходимо подключить репозиторий<br />
sudo nano /etc/apt/sources.list<br />
Заменить вторую строку, строкою ниже указанную<br />
<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update.<br />
Далее устанавливаем php-soap, netpbm <br />
sudo apt-get install php-soap netpbm<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<pre><br />
Для 1.7<br />
sudo apt install postgresql postgresql-contrib<br />
</pre><br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
Также надо в папку /usr/share/postgresql/xx/tsearch_data/ скопировать 4 файла (ru.affix,ru.dict,en.affix,en.dict)<br />
Для настройки конфигурации 'ru' необходимо выполнить следующие команды:<br />
<br />
CREATE TEXT SEARCH DICTIONARY ispell_ru (<br />
template = ispell,<br />
dictfile = ru,<br />
afffile = ru,<br />
stopwords = russian<br />
);<br />
<br />
CREATE TEXT SEARCH DICTIONARY ispell_en (<br />
template = ispell,<br />
dictfile = en,<br />
afffile = en,<br />
stopwords = english<br />
);<br />
<br />
CREATE TEXT SEARCH CONFIGURATION ru ( COPY = russian );<br />
<br />
ALTER TEXT SEARCH CONFIGURATION ru<br />
ALTER MAPPING<br />
FOR word, hword, hword_part<br />
WITH ispell_ru, russian_stem;<br />
<br />
ALTER TEXT SEARCH CONFIGURATION ru<br />
ALTER MAPPING<br />
FOR asciiword, asciihword, hword_asciipart<br />
WITH ispell_en, english_stem;<br />
<br />
<br />
<br />
<br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=976
Установка sed на Astra Смоленск 1.6
2023-02-17T17:03:11Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
sudo apt-get install git<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
sudo apt install php7.3 libapache2-mod-php7.3<br />
sudo apt-get install php7.3-curl php7.3-gd php7.3-ldap php7.3-pgsql php7.3-mbstring php7.3-zip php7.3-imagick php7.3-imap php7.3-intl php7.3-xmlrpc php7.3-xml<br />
sudo apt-get install php-xdebug7.3 (устанавливается только на машине разработчика)<br />
Для установки php7.3-soap необходимо подключить репозиторий<br />
sudo nano /etc/apt/sources.list<br />
Заменить вторую строку, строкою ниже указанную<br />
<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update.<br />
Далее устанавливаем php-soap, netpbm <br />
sudo apt-get install php-soap netpbm<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<pre><br />
Для 1.7<br />
sudo apt install postgresql postgresql-contrib<br />
</pre><br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
Также надо в папку /usr/share/postgresql/xx/tsearch_data/ скопировать 4 файла (ru.affix,ru.dict,en.affix,en.dict)<br />
Для настройки конфигурации 'ru' необходимо выполнить следующие команды:<br />
<br />
CREATE TEXT SEARCH DICTIONARY ispell_ru (<br />
template = ispell,<br />
dictfile = ru,<br />
afffile = ru,<br />
stopwords = russian<br />
);<br />
<br />
CREATE TEXT SEARCH DICTIONARY ispell_en (<br />
template = ispell,<br />
dictfile = en,<br />
afffile = en,<br />
stopwords = english<br />
);<br />
<br />
CREATE TEXT SEARCH CONFIGURATION ru ( COPY = russian );<br />
<br />
ALTER TEXT SEARCH CONFIGURATION ru<br />
ALTER MAPPING<br />
FOR word, hword, hword_part<br />
WITH ispell_ru, russian_stem;<br />
<br />
ALTER TEXT SEARCH CONFIGURATION ru<br />
ALTER MAPPING<br />
FOR asciiword, asciihword, hword_asciipart<br />
WITH ispell_en, english_stem;<br />
<br />
<br />
<br />
<br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=975
Установка sed на Astra Смоленск 1.6
2023-02-17T16:56:06Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
sudo apt install php7.3 libapache2-mod-php7.3<br />
sudo apt-get install php7.3-curl php7.3-gd php7.3-ldap php7.3-pgsql php7.3-mbstring php7.3-zip php7.3-imagick php7.3-imap php7.3-intl php7.3-xmlrpc php7.3-xml<br />
sudo apt-get install php-xdebug7.3 (устанавливается только на машине разработчика)<br />
Для установки php7.3-soap необходимо подключить репозиторий<br />
sudo nano /etc/apt/sources.list<br />
Заменить вторую строку, строкою ниже указанную<br />
<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update.<br />
Далее устанавливаем php-soap, netpbm <br />
sudo apt-get install php-soap netpbm<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<pre><br />
Для 1.7<br />
sudo apt install postgresql postgresql-contrib<br />
</pre><br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
Также надо в папку /usr/share/postgresql/xx/tsearch_data/ скопировать 4 файла (ru.affix,ru.dict,en.affix,en.dict)<br />
Для настройки конфигурации 'ru' необходимо выполнить следующие команды:<br />
<br />
CREATE TEXT SEARCH DICTIONARY ispell_ru (<br />
template = ispell,<br />
dictfile = ru,<br />
afffile = ru,<br />
stopwords = russian<br />
);<br />
<br />
CREATE TEXT SEARCH DICTIONARY ispell_en (<br />
template = ispell,<br />
dictfile = en,<br />
afffile = en,<br />
stopwords = english<br />
);<br />
<br />
CREATE TEXT SEARCH CONFIGURATION ru ( COPY = russian );<br />
<br />
ALTER TEXT SEARCH CONFIGURATION ru<br />
ALTER MAPPING<br />
FOR word, hword, hword_part<br />
WITH ispell_ru, russian_stem;<br />
<br />
ALTER TEXT SEARCH CONFIGURATION ru<br />
ALTER MAPPING<br />
FOR asciiword, asciihword, hword_asciipart<br />
WITH ispell_en, english_stem;<br />
<br />
<br />
<br />
<br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=974
Установка sed на Astra Смоленск 1.6
2023-02-17T16:46:02Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
sudo apt install php7.3 libapache2-mod-php7.3<br />
sudo apt-get install php7.3-curl php7.3-gd php7.3-ldap php7.3-pgsql php7.3-mbstring php7.3-zip php7.3-imagick php7.3-imap php7.3-intl php7.3-xmlrpc php7.3-xml<br />
sudo apt-get install php-xdebug7.3 (устанавливается только на машине разработчика)<br />
Для установки php7.3-soap необходимо подключить репозиторий<br />
sudo nano /etc/apt/sources.list<br />
Заменить вторую строку, строкою ниже указанную<br />
<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update.<br />
Далее устанавливаем php-soap, netpbm <br />
sudo apt-get install php-soap netpbm<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<pre><br />
Для 1.7<br />
sudo apt install postgresql postgresql-contrib<br />
</pre><br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=973
Установка sed на Astra Смоленск 1.6
2023-02-17T16:44:43Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
sudo apt install php7.3 libapache2-mod-php7.3<br />
sudo apt-get install php7.3-curl php7.3-gd php7.3-ldap php7.3-pgsql php7.3-mbstring php7.3-zip php7.3-imagick php7.3-imap php7.3-intl php7.3-xmlrpc php7.3-xml<br />
sudo apt-get install php-xdebug7.3 (устанавливается только на машине разработчика)<br />
Для установки php7.3-soap необходимо подключить репозиторий<br />
sudo nano /etc/apt/sources.list<br />
Заменить вторую строку, строкою ниже указанную<br />
<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update.<br />
Далее устанавливаем php-soap, netpbm <br />
sudo apt-get install php-soap netpbm<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=972
Установка sed на Astra Смоленск 1.6
2023-02-17T16:43:34Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
sudo apt install php7.3 libapache2-mod-php7.3<br />
sudo apt-get install php7.3-curl php7.3-gd php7.3-ldap php7.3-pgsql php7.3-mbstring php7.3-zip php7.3-imagick php7.3-imap php7.3-intl php7.3-xmlrpc php7.3-xml<br />
sudo apt-get install php-xdebug7.3 (устанавливается только на машине разработчика)<br />
Для установки php7.3-soap необходимо подключить репозиторий<br />
sudo nano /etc/apt/sources.list<br />
Заменить вторую строку, строкою ниже указанную<br />
<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=971
Установка sed на Astra Смоленск 1.6
2023-02-17T16:41:33Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
sudo apt install php7.3 libapache2-mod-php7.3<br />
sudo apt-get install php7.3-curl php7.3-gd php7.3-ldap php7.3-pgsql php7.3-mbstring php7.3-zip php7.3-imagick php7.3-imap php7.3-intl php7.3-xmlrpc php7.3-xml<br />
sudo apt-get install php-xdebug7.3 (устанавливается только на машине разработчика)<br />
Для установки php7.3-soap необходимо подключить репозиторий<br />
sudo nano /etc/apt/sources.list<br />
Заменить вторую строку, строкою ниже указанную<br />
<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=970
Установка sed на Astra Смоленск 1.6
2023-02-17T16:39:06Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
sudo apt install php7.3 libapache2-mod-php7.3<br />
sudo apt-get install php7.3-curl php7.3-gd php7.3-ldap php7.3-pgsql php7.3-mbstring php7.3-zip php7.3-imagick php7.3-imap php7.3-intl php7.3-xmlrpc php7.3-xml<br />
sudo apt-get install php-xdebug7.3 (устанавливается только на машине разработчика)<br />
Для установки php7.3-soap необходимо подключить репозиторий<br />
sudo nano /etc/apt/sources.list<br />
Там раскомментировать вторую строку<br />
<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=969
Установка sed на Astra Смоленск 1.6
2023-02-17T16:36:11Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
sudo apt install php7.3 libapache2-mod-php7.3<br />
sudo apt-get install php7.3-curl php7.3-gd php7.3-ldap php7.3-pgsql php7.3-mbstring php7.3-zip php7.3-imagick php7.3-imap php7.3-intl php7.3-xmlrpc php7.3-soap php7.3-xml<br />
sudo apt-get install php-xdebug7.3 (устанавливается только на машине разработчика)<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Ubuntu_2020&diff=968
Установка sed на Ubuntu 2020
2023-02-17T16:33:04Z
<p>A.tolmachev: /* Установка SED на Ubuntu */</p>
<hr />
<div>= Установка SED на Ubuntu =<br />
Отключаем ipv6 (только на рабочем сервере)<br />
<pre><br />
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=1<br />
sudo sysctl -p<br />
</pre><br />
''' 1. ''' Cначала обновим систему до самой новой версии:<br />
sudo apt-get update<br />
sudo apt-get upgrade<br />
''' 2. ''' Установка Apache:<br />
sudo apt-get install apache2<br />
''' 3. ''' Отключаем модуль индексирования:<br />
sudo a2dismod autoindex<br />
''' 4. ''' Подключаем модули rewrite, headers:<br />
sudo a2enmod headers rewrite<br />
'''5.''' Правим конфигурацию apache2.conf, убираем indexes, None -> All:<br />
sudo nano /etc/apache2/apache2.conf<br />
Меняем:<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
'''6''' меняем время записи лога на неделю.<br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly''',<br />
время лога увеличиваем до года <br />
sudo nano /etc/logrotate.d/apache2\<br />
'''rotate 48''' <br />
/var/log/apache2/*.log {<br />
weekly<br />
missingok<br />
rotate 48<br />
compress<br />
delaycompress<br />
notifempty<br />
create 640 root adm<br />
sharedscripts<br />
postrotate<br />
if invoke-rc.d apache2 status > /dev/null 2>&1; then \<br />
invoke-rc.d apache2 reload > /dev/null 2>&1; \<br />
fi;<br />
endscript<br />
prerotate<br />
if [ -d /etc/logrotate.d/httpd-prerotate ]; then \<br />
run-parts /etc/logrotate.d/httpd-prerotate; \<br />
fi; \<br />
endscript<br />
}<br />
<br />
<br />
<br />
''' 7. ''' Правим конфигурации security.conf:<br />
sudo nano /etc/apache2/conf-available/security.conf<br />
Правим константы:<br />
ServerTokens Prod<br />
ServerSignature Off<br />
<br />
<br />
'''9.''' Установка php:<br />
<br />
Если установлен по умолчанию php выше 7 версии, то удаляем его вместе с модулями, перечисленными ниже<br />
<br />
<br />
sudo apt install php7.4 libapache2-mod-php7.4<br />
sudo apt-get install php7.4-curl php7.4-gd php7.4-ldap php7.4-pgsql php7.4-mbstring php7.4-zip php7.4-imagick php7.4-imap php7.4-intl php7.4-xmlrpc php7.4-soap php7.4-xml<br />
sudo apt-get install php-xdebug7.4 (устанавливается только на машине разработчика)<br />
<br />
<br />
Через phpinfo находим путь к php.ini. <br />
В php.ini выставляем директивы upload_max_filesize = 500M post_max_size = 500M<br />
<br />
<br />
- sudo apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)? проверить использование в проекте<br />
<br />
- на рабочем сервере правим cfg-local/header.php, tools/sendmail.php <br />
<br />
<br />
'''11.''' Создаем рабочую папку и файл конфигурации виртуального хоста apache:<br />
sudo mkdir -p /var/www/sed-citis<br />
sudo nano /etc/apache2/sites-available/sed.conf<br />
<br />
<br />
<pre><br />
<VirtualHost *:80> <br />
ServerName sed.local<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/sed-citis<br />
<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
</VirtualHost><br />
<br />
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet<br />
</pre><br />
<br />
''' 12.''' Активируем вируальный хост sed.conf. Отключаем сайт по умолчанию, заданный в файле 000-default.conf<br />
<pre><br />
sudo a2ensite sed.conf<br />
sudo a2dissite 000-default.conf<br />
</pre><br />
<br />
Перезапускаем Apache:<br />
sudo service apache2 restart<br />
<br />
''' 13.''' Установка Postgres <br />
sudo apt-get install postgresql <br />
<br />
-редактируем /etc/postgresql/{версия}/main/postgresql.conf<br />
<pre><br />
max_connections =300<br />
ssl = off<br />
</pre><br />
<br />
- sudo service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
<br />
<br />
'''15.''' Скачивание и развертывание Sed в /var/www/sed-citis:<br />
<br />
sudo apt install git<br />
Отключаем проверку ssl сертификата git-a<br />
git config --global http.sslVerify false<br />
<br />
создаем папку /var/www/sed-citis, даем ей права пользователя<br />
cd /var/www/<br />
git clone https://10.20.4.2:3030/citis/sed-citis.git<br />
<br />
sudo chown -R www-data:www-data /var/www/sed-citis/cache<br />
sudo chown -R www-data:www-data /var/www/sed-citis/storage<br />
sudo chown www-data:www-data /var/www/sed-citis/cabinet/img/citis_logo.png<br />
<br />
'''16.''' В файле /cfg/db.ini изменить пути:<br />
<br />
docfile_storage=/var/www/sed-citis/storage/docfiles<br />
storagedir = /var/www/sed-citis/storage<br />
<br />
16.4 На сервере сделать бэкап БД (Уточняем ссылки у администратора):<br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/30-11-2020.edfs (30-11-2020 - дата бэкапа) <br />
<br />
16.5 С сервера скопировать бэкап себе в /home/$USER:<br />
<br />
16.6 Распаковать бекап (вес бекапа > 250мб!):<br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/30-11-2020.edfs <br />
<br />
16.7 Сделаем pass единички на машине разработчика:<br />
sudo -u postgres psql postgres<br />
\c edfs <br />
UPDATE public.users SET pass = 1;<br />
\q<br />
<br />
16.7.1 на рабочем сервере чистим базу от тестовых записей используя sql из ajax/clean_edfs.php <br />
<br />
<br />
16.8 Перезапустить все:<br />
sudo service apache2 restart<br />
sudo service postgresql restart<br />
<br />
17. На ubuntu server может потребоваться библиотеки для конвертации в pdf<br />
<br />
sudo apt install libreoffice<br />
sudo apt-get install poppler-utils (библиотека отрисовки PDF, основанная на программе просмотра Xpdf)<br />
<br />
<br />
18. Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
sudo nano /etc/ImageMagick-6/policy.xml<br />
<br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
<br />
Меняем права доступа для PDF на write|read<br />
<policy domain="coder" rights="write|read" pattern="PDF" /><br />
<br />
Проверяем правильность настроечных параметров<br />
<br />
convert -list policy<br />
<br />
19. Установка криптоПро, необходимо для работы с ЭЦП <br />
<br />
https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/338/0/nstrojjk-rbochego-mest-pod-uprvleniem-os-linux-dlja-rboty-s-oblchnymi-sertifiktmi-ehlektronnojj-podpisi<br />
<br />
Качаем КриптоПро CSP 4.0R4 linux x64 предварительно зарегистрировавшись. Проверяем md5<br />
<br />
Распакуйте загруженный архив: tar -xvf linux-amd64_deb.tgz && cd linux-amd64_deb<br />
<br />
Установите основные пакеты КриптоПро CSP: sudo ./install.sh<br />
<br />
Ничего больше устанавливать не надо.<br />
<br />
<br />
<br />
Только на рабочем сервере подключаем выполнение задач в crone, если нужно<br />
<br />
*/1 * * * * /usr/bin/curl http://localhost/tools/conv_file_pull.php >/dev/null 2>&1<br />
*/30 * * * * /usr/bin/curl http://localhost/cabinet/ajax/orgStructure/orgStructureUpdate.php >/dev/null 2>&1<br />
*/1 * * * * /usr/bin/php /var/www/sed-citis/tools/signers/pull.php Megafon --verbose >/dev/nul 2>&1<br />
*/30 * * * * /usr/bin/php /var/www/sed-citis/postoffice-in-igdw.php >> /var/www/sed-citis/storage/logs/medo.log<br />
0 */4 * * * /usr/bin/curl http://localhost/cabinet/ajax/RSSParser/RSSParser.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/readOG.lib.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/writeOGstatus.php >/dev/null 2>&1<br />
*/6 * * * * /usr/bin/php /var/www/sed-citis/ajax/checkEmailDelivery.php >/dev/null 2>&1<br />
*/7 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
<br />
добавить файл /var/www/sed-citis/storage/logs/medo.log с правами пользователя<br />
<br />
<br />
20. Установка auditd на рабочем сервере<br />
sudo apt install auditd<br />
<br />
Добавляем в /etc/audit/rules.d/audit.rules правила <br />
<br />
-w /etc/shadow -p wa -k shadow <br />
-w /etc/passwd -p wa -k passwd <br />
##track all commands run by root (euid=0)<br />
-a exit,always -F arch=b64 -F euid=0 -S execve <br />
-a exit,always -F arch=b32 -F euid=0 -S execve<br />
service auditd restart<br />
<br />
Используем auditctl -l команду для проверки установленных правил<br />
<br />
21. Локальная настройка СЭД (на рабочем сервере). <br />
<br />
меняем логотип в админке<br />
cfg-local/header.php<br />
<br />
меняем штампы в админке <br />
storage/stamps/reg/sample/in_stamp.png<br />
storage/stamps/sign/sample/sig_ep_stamp.png<br />
storage/stamps/sign/sample/sig_sedo_stamp.png<br />
<br />
22. Монтируем папки для мэдо (на рабочем сервере)<br />
<br />
sudo apt install cifs-utils<br />
<br />
редактируем /etc/fstab<br />
23. Для настройки почты используем админку-Настройки сервера- нажать на 3 точки и далее вносим параметры.<br />
Для проверки работы почты необходимо:<br />
раскомментировать строку /var/www/sed-citis/tools/sendmail-notifications.php <br />
$l = sendmail('внести_почту_на_которой_будете_проверять', 'проверка', 'mail sdsd');<br />
и если не используется tls добавить две строки ниже $mail->Port = MAIL_CONFIG['port']; <br />
$mail->SMTPAutoTLS = false;<br />
$mail->SMTPSecure = 'none';</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Astra_%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA_1.6&diff=965
Установка sed на Astra Смоленск 1.6
2022-11-16T07:36:39Z
<p>A.tolmachev: </p>
<hr />
<div><accesscontrol>Administrators</accesscontrol><br />
<br />
должны быть открыты порты 22, 80 и 3030 (git). Внешние репозитории не подключаются<br />
<br />
- sudo -i<br />
<br />
- pdp-id проверяем уровень целостности<br />
<br />
Для возможности правки должен быть высокий уровень целостности (63)<br />
<br />
'''Загрузка папки проекта'''<br />
<br />
- отключаем проверку ssl сертификата<br />
<pre> git config --global http.sslVerify false</pre><br />
<br />
- создаем каталог /var/www/sed-citis<br />
<br />
<pre><br />
sudo chmod -R 755 /var/www/sed-citis<br />
</pre> <br />
<br />
- клонируем проект git clone .....url<br><br />
копируем с другого сервера содержимое папок storage и cabinet/userPhoto (если выполняется перенос сервера), а также создаем папку templates в ../storage/share/<br />
<pre><br />
sudo chown -R www-data:www-data cache storage cabinet/userPhoto<br />
файлы .htaccess в storage и cabinet/userPhoto оставляем под пользователем<br />
<br />
</pre><br />
<br />
'''Настройка apache'''<br />
<br />
- в файле /etc/apache2/apache2.conf отключаем аутендификацию<br />
<pre><br />
AstraMode off<br />
</pre><br />
<br />
убираем индексирование, разрешаем читать .htaccess<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
-подключаем модули rewrite, headers<br />
<pre><br />
a2enmond rewrite<br />
a2enmond headers<br />
</pre><br />
отключаем модуль autoindex<br />
<pre><br />
a2dismod autoindex<br />
</pre><br />
<br />
- sudo nano /etc/apache2/conf-available/security.conf<br />
<br />
<pre><br />
ServerTokens Prod <br />
ServerSignature Off<br />
</pre><br />
<br />
-меняем путь к рабочему каталогу в /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<pre><br />
DocumentRoot /var/www/sed-citis<br />
</pre><br />
<br />
- меняем время записи лога на неделю. <br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly'''<br />
<br />
<br />
В php.ini выставляем директивы <br />
upload_max_filesize = 500M<br />
post_max_size = 500M<br />
<br />
<br />
- запускаем apache<br />
<br />
или перезапускаем<br />
systemctl restart apache2<br />
<br />
<br />
/etc/init.d/apache2 start<br />
<br />
'''Установка программ'''<br />
<br />
-apt install php7.0 php-pear libapache2-mod-php7.0<br />
<br />
-apt-get install php7.0-curl php7.0-gd php7.0-ldap php7.0-pgsql php7.0-mbstring php7.0-zip php-apcu php-imagick php7.0-imap php7.0-intl php7.0-xmlrpc php7.0-soap<br />
<br />
-apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)<br />
<br />
для версии 1.7, чтобы установить netpbm пришлось в /etc/apt/sources.list подключить базовый репозиторий https://wiki.astralinux.ru/pages/viewpage.action?pageId=158598882<br />
<br />
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free<br />
не забудьте обновить sudo apt-get update<br />
<br />
'''Настройка postgres'''<br />
<br />
- Устанавливаем PostgreSQL<br />
<br />
<pre><br />
sudo apt install postgresql-astra postgresql-contrib<br />
</pre><br />
<br />
-редактируем /etc/postgresql/9.6/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
''при выполнении pg_restore ругается на отсутствие расширения pg_stat_statements''<br />
<br />
- устанавливаем параметр «zero_if_notfound» в файле «/etc/parsec/mswitch.conf» в значение «yes».<br />
<br />
Это необходимо, чтобы пользователь СУБД, сущность которого не создана в ОС, мог входить в СУБД с нулевыми мандатными атрибутами. Postgres не подключается под пользователем www-data.<br />
<br />
'''Настройка миграций'''<br />
<br />
- распаковываем папку vendor из vendor.zip<br />
<br />
npm у Астры Смоленск 1.6 не входит в состав nodejs, поэтому нельзя поставить composer и загрузить через него зависимости<br />
chillerlan/php-database только версии 1.0.2 работает с php7.0. Учитываем это при загрузке зависимостей через composer на рабочем сервере<br />
<br />
<br />
Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
в файле policy.xml добавляем настройки безопасности согласно рекомендациям https://legacy.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588<br />
<br />
<pre><br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
</pre><br />
<br />
Проверяем правильность настроечных параметров <br />
<br />
convert -list policy<br />
<br />
'''Настраиваем crontab'''<br />
<br />
sudo crontab -e<br />
<br />
<pre><br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/conv_file_pull.php >/dev/null 2>&1<br />
#*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
</pre><br />
<br />
'''Устанавливаем сервер конвертации документов ms office в pdf'''<br />
<br />
<br />
должен быть установлен windows iis ftp сервер<br />
в нем две папки in и out<br />
<br />
конвертер запускается через 1.bat. Папку можно скопировать из tools/pdfConverter/cmd<br />
<br />
убить процессы в powershell можно командой<br />
<pre><br />
Get-Process -Name WINWORD* | Stop-Process<br />
</pre><br />
для включения конвертора надо в cfg/db.ini прописать<br />
<pre><br />
[docsaner]<br />
useshell = 0<br />
</pre></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_telegram&diff=947
Установка сервера telegram
2022-11-04T17:00:30Z
<p>A.tolmachev: </p>
<hr />
<div>'''Установка на Ubuntu 16.04.3 и выше'''<br><br />
Установить на сервере-шлюзе Samba<br><br />
sudo apt-get install samba<br><br />
Разрешаем автостарт сервиса:<br><br />
sudo systemctl enable smbd<br><br />
И проверим, что сервис запустился: <br><br />
sudo systemctl status smbd<br><br />
Создадим пользователя для доступа к папке<br><br />
sudo useradd telegra<br><br />
Назначим ему пароль<br><br />
sudo passwd telegra<br><br />
Дважды введем пароль<br><br />
Создадим пользователя в самбе<br><br />
sudo smbpasswd -a telegra<br><br />
Теперь создадим папку, доступ к которой будут иметь ограниченное количество пользователей.<br><br />
Открываем конфигурационный файл samba:<br><br />
sudo nano /etc/samba/smb.conf<br><br />
Добавляем настройку для новой папки в конец файла, комментим строчки с принтерами (если они не нужны):<br><br />
[telegram]<br><br />
comment = Private Folder<br><br />
path = /var/www/telegram<br><br />
public = no<br><br />
writable = no<br><br />
read only = yes<br><br />
guest ok = no<br><br />
valid users = admin, telegra<br><br />
write list = admin, telegra<br><br />
create mask = 0777<br><br />
directory mask = 0777<br><br />
force create mode = 0777<br><br />
force directory mode = 0777<br><br />
inherit owner = yes<br><br />
* стоит обратить внимание на следующие настройки:<br><br />
path = /data/private — используем новый путь до папки.<br><br />
writable = no и read only = yes — в данном примере мы разрешим запись в каталог только некоторым пользователям. Поэтому общие настройки, разрешающие запись в папку, должны быть запрещены.<br><br />
valid users — список пользователей, которым разрешено подключаться к каталогу. В данном примере разрешения работают для пользователей admin, telegra, а также для всех, кто входим в группу privateusers.<br><br />
write list — список пользователей, которые имеют доступ к папке на чтение и запись. В данном примере мы разрешаем это только для пользователей admin и telegra.<br><br />
inherit owner — опция позволяем включить наследование владельца при создании папок и файлов.<br><br />
* если мы хотим, чтобы доступ к каталогу был полный у определенных пользователей (без разделения на тех, кто может только читать и тех, кто может также писать в папку), то опцию write list можно не указывать, а опции writable и read only оставить как в примерах выше.<br><br />
Создаем каталог для новой папки:<br><br />
sudo mkdir /var/www/telegram<br><br />
Задаем права на созданный каталог:<br><br />
sudo chmod 777 /var/www/telegram<br><br />
Для применения настроек перезапускаем samba:<br><br />
sudo systemctl restart smbd<br><br />
Проверяем возможность работы с новым каталогом.<br><br />
На сервере СЭД ставим: sudo apt install cifs-utils -y<br><br />
добавляем строку в конец файла fstab, меняя password на созданный пароль<br><br />
sudo nano /etc/fstab<br><br />
//192.168.123.103/telegram/storage/outbox /var/www/sed-citis/storage/exchange/telegram/outbox cifs user=telegra,pass=password,iocharset=utf8,noperm,uid=www-data,gid=www-data,dir_mode=0777,file_mode=0777,auto 0 0<br><br />
Далее монтируем<br><br />
sudo mount -a<br><br />
Если ошибка mount error(95): Operation not supported<br><br />
То необходимо изменить строку<br><br />
sudo nano /etc/fstab<br><br />
//192.168.123.103/telegram/storage/outbox /var/www/sed-citis/storage/exchange/telegram/outbox cifs user=telegra,pass=password,iocharset=utf8,vers=2.0,noperm,uid=www-data,gid=www-data,dir_mode=0777,file_mode=0777,auto 0 0<br><br />
'''Создание сертификата'''<br><br />
Сайт, для которого вы хотите создать SSL сертификат должен уже быть доступен без HTTPS на порту 80. Поэтому его виртуальный хост Apache должен уже быть настроен. В этом примере я буду получать сертификат для edu.citis.ru. Для примера можно создать такой виртуальный хост:<br><br />
sudo nano /etc/apache2/sites-available/edu-citis-ru.conf<br><br />
<VirtualHost *:80><br><br />
ServerName edu.citis.ru<br><br />
ServerAlias www.edu.citis.ru<br><br />
ServerAdmin webmaster@localhost<br><br />
DocumentRoot /var/www/<br><br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br><br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br><br />
RewriteEngine on<br><br />
RewriteCond %{SERVER_NAME} =edu.citis.ru [OR]<br><br />
RewriteCond %{SERVER_NAME} =www.edu.citis.ru<br><br />
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]<br><br />
</VirtualHost><br><br />
Выходим сохраняя изменения.<br><br />
Клиент Lets Encrypt называется Certbot. Он доступен в официальных репозиториях. Для установки выполните такие команды:<br><br />
sudo apt install certbot python-certbot-apache<br><br />
Если последний пакет не найдется надо ставить python3-certbot-apache<br><br />
Далее генерируем сертификат<br><br />
sudo certbot certonly --apache -d edu.citis.ru -d www.edu.citis.ru<br><br />
При первом запуске утилита предложит вам указать ваш Email адрес, для того чтобы отправлять вам уведомления о необходимости обновить сертификат и новости, а также попросит принять лицензионное соглашение.<br><br />
А потом спросит можно ли передать ваш адрес их партнёрам. Ответить No. Только после этого начнётся генерация сертификата<br><br />
Программа сообщает, что сертификат сохранён в папке /etc/letsencrypt/live/edu.citis.ru/ и вы можете его использовать.<br><br />
Если вы посмотрите в папку /etc/letsencrypt/live/edu.citis.ru, то увидите там четыре файла:<br><br />
<br />
cert.pem - файл сертификата, его необходимо прописать в параметре SSLCertificateFile;<br><br />
chain.pem - файл цепочки сертификата, обычно прописывается в параметре SSLCertificateChainFile;<br><br />
privkey.pem - приватный ключ сертификата, должен быть прописан в SSLCertificateKeyFile;<br><br />
fullchain.pem - в нём объединено содержимое cert.pem и chain.pem, можно использовать вместо этих обоих файлов.<br><br />
Необходимо файлы сгенерированные перенести в другую папку (до текущей папки нет доступа у апача)<br><br />
sudo mkdir /etc/apache/ssl<br><br />
sudo mv /etc/letsencrypt/live/edu.citis.ru/* /etc/apache/ssl/*<br><br />
Для обычного сайта у нас виртуальный хост существует. Осталось создать виртуальный хост для SSL версии. Тут кроме стандартных настроек надо добавить четыре параметра.<br><br />
<br />
SSLEngine on<br><br />
SSLCertificateFile /путь/к/сертификату.pem<br><br />
SSLCertificateChainFile /путь/к/сертификату/цепочки.pem<br><br />
SSLCertificateKeyFile /путь/к/приватному/ключу.pem<br><br />
<br />
Например:<br><br />
<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br><br />
<br />
<VirtualHost *:443><br><br />
ServerName edu.citis.ru<br><br />
ServerAlias www.edu.citis.ru<br><br />
ServerAdmin webmaster@localhost<br><br />
DocumentRoot /var/www/<br><br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br><br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br><br />
SSLEngine on<br><br />
SSLCertificateFile /etc/letsencrypt/live/edu.citis.ru/cert.pem<br><br />
SSLCertificateChainFile /etc/letsencrypt/live/edu.citis.ru/chain.pem<br><br />
SSLCertificateKeyFile /etc/letsencrypt/live/edu.citis.ru/privkey.pem<br><br />
</VirtualHost><br><br />
Этой конфигурации достаточно чтобы всё заработало. Затем активируйте этот виртуальный хост:<br><br />
sudo a2ensite edu-citis-ru-ssl<br><br />
И не забудьте включить модуль для поддержки SSL:<br><br />
sudo a2enmod ssl<br><br />
Проверьте работоспособность открыв домен в браузере.<br><br />
Чтобы добавить больше безопасности можно указать какие протоколы SSL следует использовать. Например, для того чтобы отключить SSLv2 и SSLv3, а также TLS ниже 1.2 добавьте:<br><br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br><br />
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1<br></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Ubuntu_2020&diff=946
Установка sed на Ubuntu 2020
2022-11-03T19:28:42Z
<p>A.tolmachev: </p>
<hr />
<div>= Установка SED на Ubuntu =<br />
Отключаем ipv6 (только на рабочем сервере)<br />
<pre><br />
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=1<br />
sudo sysctl -p<br />
</pre><br />
''' 1. ''' Cначала обновим систему до самой новой версии:<br />
sudo apt-get update<br />
sudo apt-get upgrade<br />
''' 2. ''' Установка Apache:<br />
sudo apt-get install apache2<br />
''' 3. ''' Отключаем модуль индексирования:<br />
sudo a2dismod autoindex<br />
''' 4. ''' Подключаем модули rewrite, headers:<br />
sudo a2enmod headers rewrite<br />
'''5.''' Правим конфигурацию apache2.conf, убираем indexes, None -> All:<br />
sudo nano /etc/apache2/apache2.conf<br />
Меняем:<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
'''6''' меняем время записи лога на неделю.<br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly''',<br />
время лога увеличиваем до года <br />
'''rotate 48''' <br />
<br />
<br />
''' 7. ''' Правим конфигурации security.conf:<br />
sudo nano /etc/apache2/conf-available/security.conf<br />
Правим константы:<br />
ServerTokens Prod<br />
ServerSignature Off<br />
<br />
<br />
'''9.''' Установка php:<br />
<br />
Если установлен по умолчанию php выше 7 версии, то удаляем его вместе с модулями, перечисленными ниже<br />
<br />
<br />
sudo apt install php7.4 libapache2-mod-php7.4<br />
sudo apt-get install php7.4-curl php7.4-gd php7.4-ldap php7.4-pgsql php7.4-mbstring php7.4-zip php7.4-imagick php7.4-imap php7.4-intl php7.4-xmlrpc php7.4-soap php7.4-xml<br />
sudo apt-get install php-xdebug7.4 (устанавливается только на машине разработчика)<br />
<br />
<br />
Через phpinfo находим путь к php.ini. <br />
В php.ini выставляем директивы upload_max_filesize = 500M post_max_size = 500M<br />
<br />
<br />
- sudo apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)? проверить использование в проекте<br />
<br />
- на рабочем сервере правим cfg-local/header.php, tools/sendmail.php <br />
<br />
<br />
'''11.''' Создаем рабочую папку и файл конфигурации виртуального хоста apache:<br />
sudo mkdir -p /var/www/sed-citis<br />
sudo nano /etc/apache2/sites-available/sed.conf<br />
<br />
<br />
<pre><br />
<VirtualHost *:80> <br />
ServerName sed.local<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/sed-citis<br />
<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
</VirtualHost><br />
<br />
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet<br />
</pre><br />
<br />
''' 12.''' Активируем вируальный хост sed.conf. Отключаем сайт по умолчанию, заданный в файле 000-default.conf<br />
<pre><br />
sudo a2ensite sed.conf<br />
sudo a2dissite 000-default.conf<br />
</pre><br />
<br />
Перезапускаем Apache:<br />
sudo service apache2 restart<br />
<br />
''' 13.''' Установка Postgres <br />
sudo apt-get install postgresql <br />
<br />
-редактируем /etc/postgresql/{версия}/main/postgresql.conf<br />
<pre><br />
max_connections =300<br />
ssl = off<br />
</pre><br />
<br />
- sudo service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
<br />
<br />
'''15.''' Скачивание и развертывание Sed в /var/www/sed-citis:<br />
<br />
sudo apt install git<br />
Отключаем проверку ssl сертификата git-a<br />
git config --global http.sslVerify false<br />
<br />
создаем папку /var/www/sed-citis, даем ей права пользователя<br />
cd /var/www/<br />
git clone https://10.20.4.2:3030/citis/sed-citis.git<br />
<br />
sudo chown -R www-data:www-data /var/www/sed-citis/cache<br />
sudo chown -R www-data:www-data /var/www/sed-citis/storage<br />
sudo chown www-data:www-data /var/www/sed-citis/cabinet/img/citis_logo.png<br />
<br />
'''16.''' В файле /cfg/db.ini изменить пути:<br />
<br />
docfile_storage=/var/www/sed-citis/storage/docfiles<br />
storagedir = /var/www/sed-citis/storage<br />
<br />
16.4 На сервере сделать бэкап БД (Уточняем ссылки у администратора):<br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/30-11-2020.edfs (30-11-2020 - дата бэкапа) <br />
<br />
16.5 С сервера скопировать бэкап себе в /home/$USER:<br />
<br />
16.6 Распаковать бекап (вес бекапа > 250мб!):<br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/30-11-2020.edfs <br />
<br />
16.7 Сделаем pass единички на машине разработчика:<br />
sudo -u postgres psql postgres<br />
\c edfs <br />
UPDATE public.users SET pass = 1;<br />
\q<br />
<br />
16.7.1 на рабочем сервере чистим базу от тестовых записей используя sql из ajax/clean_edfs.php <br />
<br />
<br />
16.8 Перезапустить все:<br />
sudo service apache2 restart<br />
sudo service postgresql restart<br />
<br />
17. На ubuntu server может потребоваться библиотеки для конвертации в pdf<br />
<br />
sudo apt install libreoffice<br />
sudo apt-get install poppler-utils (библиотека отрисовки PDF, основанная на программе просмотра Xpdf)<br />
<br />
<br />
18. Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
sudo nano /etc/ImageMagick-6/policy.xml<br />
<br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
<br />
Меняем права доступа для PDF на write|read<br />
<policy domain="coder" rights="write|read" pattern="PDF" /><br />
<br />
Проверяем правильность настроечных параметров<br />
<br />
convert -list policy<br />
<br />
19. Установка криптоПро, необходимо для работы с ЭЦП <br />
<br />
https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/338/0/nstrojjk-rbochego-mest-pod-uprvleniem-os-linux-dlja-rboty-s-oblchnymi-sertifiktmi-ehlektronnojj-podpisi<br />
<br />
Качаем КриптоПро CSP 4.0R4 linux x64 предварительно зарегистрировавшись. Проверяем md5<br />
<br />
Распакуйте загруженный архив: tar -xvf linux-amd64_deb.tgz && cd linux-amd64_deb<br />
<br />
Установите основные пакеты КриптоПро CSP: sudo ./install.sh<br />
<br />
Ничего больше устанавливать не надо.<br />
<br />
<br />
<br />
Только на рабочем сервере подключаем выполнение задач в crone, если нужно<br />
<br />
*/1 * * * * /usr/bin/curl http://localhost/tools/conv_file_pull.php >/dev/null 2>&1<br />
*/30 * * * * /usr/bin/curl http://localhost/cabinet/ajax/orgStructure/orgStructureUpdate.php >/dev/null 2>&1<br />
*/1 * * * * /usr/bin/php /var/www/sed-citis/tools/signers/pull.php Megafon --verbose >/dev/nul 2>&1<br />
*/30 * * * * /usr/bin/php /var/www/sed-citis/postoffice-in-igdw.php >> /var/www/sed-citis/storage/logs/medo.log<br />
0 */4 * * * /usr/bin/curl http://localhost/cabinet/ajax/RSSParser/RSSParser.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/readOG.lib.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/writeOGstatus.php >/dev/null 2>&1<br />
*/6 * * * * /usr/bin/php /var/www/sed-citis/ajax/checkEmailDelivery.php >/dev/null 2>&1<br />
*/7 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
<br />
добавить файл /var/www/sed-citis/storage/logs/medo.log с правами пользователя<br />
<br />
<br />
20. Установка auditd на рабочем сервере<br />
sudo apt install auditd<br />
<br />
Добавляем в /etc/audit/rules.d/audit.rules правила <br />
<br />
-w /etc/shadow -p wa -k shadow <br />
-w /etc/passwd -p wa -k passwd <br />
##track all commands run by root (euid=0)<br />
-a exit,always -F arch=b64 -F euid=0 -S execve <br />
-a exit,always -F arch=b32 -F euid=0 -S execve<br />
service auditd restart<br />
<br />
Используем auditctl -l команду для проверки установленных правил<br />
<br />
21. Локальная настройка СЭД (на рабочем сервере). <br />
<br />
меняем логотип в админке<br />
cfg-local/header.php<br />
<br />
меняем штампы в админке <br />
storage/stamps/reg/sample/in_stamp.png<br />
storage/stamps/sign/sample/sig_ep_stamp.png<br />
storage/stamps/sign/sample/sig_sedo_stamp.png<br />
<br />
22. Монтируем папки для мэдо (на рабочем сервере)<br />
<br />
sudo apt install cifs-utils<br />
<br />
редактируем /etc/fstab<br />
23. Для настройки почты используем админку-Настройки сервера- нажать на 3 точки и далее вносим параметры.<br />
Для проверки работы почты необходимо:<br />
раскомментировать строку /var/www/sed-citis/tools/sendmail-notifications.php <br />
$l = sendmail('внести_почту_на_которой_будете_проверять', 'проверка', 'mail sdsd');<br />
и если не используется tls добавить две строки ниже $mail->Port = MAIL_CONFIG['port']; <br />
$mail->SMTPAutoTLS = false;<br />
$mail->SMTPSecure = 'none';</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Ubuntu_2020&diff=945
Установка sed на Ubuntu 2020
2022-11-03T19:27:41Z
<p>A.tolmachev: </p>
<hr />
<div>= Установка SED на Ubuntu =<br />
Отключаем ipv6 (только на рабочем сервере)<br />
<pre><br />
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=1<br />
sudo sysctl -p<br />
</pre><br />
''' 1. ''' Cначала обновим систему до самой новой версии:<br />
sudo apt-get update<br />
sudo apt-get upgrade<br />
''' 2. ''' Установка Apache:<br />
sudo apt-get install apache2<br />
''' 3. ''' Отключаем модуль индексирования:<br />
sudo a2dismod autoindex<br />
''' 4. ''' Подключаем модули rewrite, headers:<br />
sudo a2enmod headers rewrite<br />
'''5.''' Правим конфигурацию apache2.conf, убираем indexes, None -> All:<br />
sudo nano /etc/apache2/apache2.conf<br />
Меняем:<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
'''6''' меняем время записи лога на неделю.<br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly''',<br />
время лога увеличиваем до года <br />
'''rotate 48''' <br />
<br />
<br />
''' 7. ''' Правим конфигурации security.conf:<br />
sudo nano /etc/apache2/conf-available/security.conf<br />
Правим константы:<br />
ServerTokens Prod<br />
ServerSignature Off<br />
<br />
<br />
'''9.''' Установка php:<br />
<br />
Если установлен по умолчанию php выше 7 версии, то удаляем его вместе с модулями, перечисленными ниже<br />
<br />
<br />
sudo apt install php7.4 libapache2-mod-php7.4<br />
sudo apt-get install php7.4-curl php7.4-gd php7.4-ldap7.4 php7.4-pgsql php7.4-mbstring php7.4-zip php7.4-imagick php7.4-imap php7.4-intl php7.4-xmlrpc php7.4-soap php7.4-xml<br />
sudo apt-get install php-xdebug7.4 (устанавливается только на машине разработчика)<br />
<br />
<br />
Через phpinfo находим путь к php.ini. <br />
В php.ini выставляем директивы upload_max_filesize = 500M post_max_size = 500M<br />
<br />
<br />
- sudo apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)? проверить использование в проекте<br />
<br />
- на рабочем сервере правим cfg-local/header.php, tools/sendmail.php <br />
<br />
<br />
'''11.''' Создаем рабочую папку и файл конфигурации виртуального хоста apache:<br />
sudo mkdir -p /var/www/sed-citis<br />
sudo nano /etc/apache2/sites-available/sed.conf<br />
<br />
<br />
<pre><br />
<VirtualHost *:80> <br />
ServerName sed.local<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/sed-citis<br />
<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
</VirtualHost><br />
<br />
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet<br />
</pre><br />
<br />
''' 12.''' Активируем вируальный хост sed.conf. Отключаем сайт по умолчанию, заданный в файле 000-default.conf<br />
<pre><br />
sudo a2ensite sed.conf<br />
sudo a2dissite 000-default.conf<br />
</pre><br />
<br />
Перезапускаем Apache:<br />
sudo service apache2 restart<br />
<br />
''' 13.''' Установка Postgres <br />
sudo apt-get install postgresql <br />
<br />
-редактируем /etc/postgresql/{версия}/main/postgresql.conf<br />
<pre><br />
max_connections =300<br />
ssl = off<br />
</pre><br />
<br />
- sudo service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
<br />
<br />
'''15.''' Скачивание и развертывание Sed в /var/www/sed-citis:<br />
<br />
sudo apt install git<br />
Отключаем проверку ssl сертификата git-a<br />
git config --global http.sslVerify false<br />
<br />
создаем папку /var/www/sed-citis, даем ей права пользователя<br />
cd /var/www/<br />
git clone https://10.20.4.2:3030/citis/sed-citis.git<br />
<br />
sudo chown -R www-data:www-data /var/www/sed-citis/cache<br />
sudo chown -R www-data:www-data /var/www/sed-citis/storage<br />
sudo chown www-data:www-data /var/www/sed-citis/cabinet/img/citis_logo.png<br />
<br />
'''16.''' В файле /cfg/db.ini изменить пути:<br />
<br />
docfile_storage=/var/www/sed-citis/storage/docfiles<br />
storagedir = /var/www/sed-citis/storage<br />
<br />
16.4 На сервере сделать бэкап БД (Уточняем ссылки у администратора):<br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/30-11-2020.edfs (30-11-2020 - дата бэкапа) <br />
<br />
16.5 С сервера скопировать бэкап себе в /home/$USER:<br />
<br />
16.6 Распаковать бекап (вес бекапа > 250мб!):<br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/30-11-2020.edfs <br />
<br />
16.7 Сделаем pass единички на машине разработчика:<br />
sudo -u postgres psql postgres<br />
\c edfs <br />
UPDATE public.users SET pass = 1;<br />
\q<br />
<br />
16.7.1 на рабочем сервере чистим базу от тестовых записей используя sql из ajax/clean_edfs.php <br />
<br />
<br />
16.8 Перезапустить все:<br />
sudo service apache2 restart<br />
sudo service postgresql restart<br />
<br />
17. На ubuntu server может потребоваться библиотеки для конвертации в pdf<br />
<br />
sudo apt install libreoffice<br />
sudo apt-get install poppler-utils (библиотека отрисовки PDF, основанная на программе просмотра Xpdf)<br />
<br />
<br />
18. Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
sudo nano /etc/ImageMagick-6/policy.xml<br />
<br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
<br />
Меняем права доступа для PDF на write|read<br />
<policy domain="coder" rights="write|read" pattern="PDF" /><br />
<br />
Проверяем правильность настроечных параметров<br />
<br />
convert -list policy<br />
<br />
19. Установка криптоПро, необходимо для работы с ЭЦП <br />
<br />
https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/338/0/nstrojjk-rbochego-mest-pod-uprvleniem-os-linux-dlja-rboty-s-oblchnymi-sertifiktmi-ehlektronnojj-podpisi<br />
<br />
Качаем КриптоПро CSP 4.0R4 linux x64 предварительно зарегистрировавшись. Проверяем md5<br />
<br />
Распакуйте загруженный архив: tar -xvf linux-amd64_deb.tgz && cd linux-amd64_deb<br />
<br />
Установите основные пакеты КриптоПро CSP: sudo ./install.sh<br />
<br />
Ничего больше устанавливать не надо.<br />
<br />
<br />
<br />
Только на рабочем сервере подключаем выполнение задач в crone, если нужно<br />
<br />
*/1 * * * * /usr/bin/curl http://localhost/tools/conv_file_pull.php >/dev/null 2>&1<br />
*/30 * * * * /usr/bin/curl http://localhost/cabinet/ajax/orgStructure/orgStructureUpdate.php >/dev/null 2>&1<br />
*/1 * * * * /usr/bin/php /var/www/sed-citis/tools/signers/pull.php Megafon --verbose >/dev/nul 2>&1<br />
*/30 * * * * /usr/bin/php /var/www/sed-citis/postoffice-in-igdw.php >> /var/www/sed-citis/storage/logs/medo.log<br />
0 */4 * * * /usr/bin/curl http://localhost/cabinet/ajax/RSSParser/RSSParser.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/readOG.lib.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/writeOGstatus.php >/dev/null 2>&1<br />
*/6 * * * * /usr/bin/php /var/www/sed-citis/ajax/checkEmailDelivery.php >/dev/null 2>&1<br />
*/7 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
<br />
добавить файл /var/www/sed-citis/storage/logs/medo.log с правами пользователя<br />
<br />
<br />
20. Установка auditd на рабочем сервере<br />
sudo apt install auditd<br />
<br />
Добавляем в /etc/audit/rules.d/audit.rules правила <br />
<br />
-w /etc/shadow -p wa -k shadow <br />
-w /etc/passwd -p wa -k passwd <br />
##track all commands run by root (euid=0)<br />
-a exit,always -F arch=b64 -F euid=0 -S execve <br />
-a exit,always -F arch=b32 -F euid=0 -S execve<br />
service auditd restart<br />
<br />
Используем auditctl -l команду для проверки установленных правил<br />
<br />
21. Локальная настройка СЭД (на рабочем сервере). <br />
<br />
меняем логотип в админке<br />
cfg-local/header.php<br />
<br />
меняем штампы в админке <br />
storage/stamps/reg/sample/in_stamp.png<br />
storage/stamps/sign/sample/sig_ep_stamp.png<br />
storage/stamps/sign/sample/sig_sedo_stamp.png<br />
<br />
22. Монтируем папки для мэдо (на рабочем сервере)<br />
<br />
sudo apt install cifs-utils<br />
<br />
редактируем /etc/fstab<br />
23. Для настройки почты используем админку-Настройки сервера- нажать на 3 точки и далее вносим параметры.<br />
Для проверки работы почты необходимо:<br />
раскомментировать строку /var/www/sed-citis/tools/sendmail-notifications.php <br />
$l = sendmail('внести_почту_на_которой_будете_проверять', 'проверка', 'mail sdsd');<br />
и если не используется tls добавить две строки ниже $mail->Port = MAIL_CONFIG['port']; <br />
$mail->SMTPAutoTLS = false;<br />
$mail->SMTPSecure = 'none';</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Ubuntu_2020&diff=944
Установка sed на Ubuntu 2020
2022-11-03T17:14:36Z
<p>A.tolmachev: </p>
<hr />
<div>= Установка SED на Ubuntu =<br />
Отключаем ipv6 (только на рабочем сервере)<br />
<pre><br />
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=1<br />
sudo sysctl -p<br />
</pre><br />
''' 1. ''' Cначала обновим систему до самой новой версии:<br />
sudo apt-get update<br />
sudo apt-get upgrade<br />
''' 2. ''' Установка Apache:<br />
sudo apt-get install apache2<br />
''' 3. ''' Отключаем модуль индексирования:<br />
sudo a2dismod autoindex<br />
''' 4. ''' Подключаем модули rewrite, headers:<br />
sudo a2enmod headers rewrite<br />
'''5.''' Правим конфигурацию apache2.conf, убираем indexes, None -> All:<br />
sudo nano /etc/apache2/apache2.conf<br />
Меняем:<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
'''6''' меняем время записи лога на неделю.<br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly''',<br />
время лога увеличиваем до года <br />
'''rotate 48''' <br />
<br />
<br />
''' 7. ''' Правим конфигурации security.conf:<br />
sudo nano /etc/apache2/conf-available/security.conf<br />
Правим константы:<br />
ServerTokens Prod<br />
ServerSignature Off<br />
<br />
<br />
'''9.''' Установка php:<br />
<br />
Если установлен по умолчанию php выше 7 версии, то удаляем его вместе с модулями, перечисленными ниже<br />
<br />
<br />
sudo apt install php7.4 libapache2-mod-php7.4<br />
sudo apt-get install php-curl7.4 php-gd7.4 php-ldap7.4 php-pgsql7.4 php-mbstring7.4 php-zip7.4 php-imagick7.4 php-imap7.4 php-intl7.4 php-xmlrpc7.4 php-soap7.4 php-xml7.4<br />
sudo apt-get install php-xdebug7.4 (устанавливается только на машине разработчика)<br />
<br />
<br />
Через phpinfo находим путь к php.ini. <br />
В php.ini выставляем директивы upload_max_filesize = 500M post_max_size = 500M<br />
<br />
<br />
- sudo apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)? проверить использование в проекте<br />
<br />
- на рабочем сервере правим cfg-local/header.php, tools/sendmail.php <br />
<br />
<br />
'''11.''' Создаем рабочую папку и файл конфигурации виртуального хоста apache:<br />
sudo mkdir -p /var/www/sed-citis<br />
sudo nano /etc/apache2/sites-available/sed.conf<br />
<br />
<br />
<pre><br />
<VirtualHost *:80> <br />
ServerName sed.local<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/sed-citis<br />
<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
</VirtualHost><br />
<br />
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet<br />
</pre><br />
<br />
''' 12.''' Активируем вируальный хост sed.conf. Отключаем сайт по умолчанию, заданный в файле 000-default.conf<br />
<pre><br />
sudo a2ensite sed.conf<br />
sudo a2dissite 000-default.conf<br />
</pre><br />
<br />
Перезапускаем Apache:<br />
sudo service apache2 restart<br />
<br />
''' 13.''' Установка Postgres <br />
sudo apt-get install postgresql <br />
<br />
-редактируем /etc/postgresql/{версия}/main/postgresql.conf<br />
<pre><br />
max_connections =300<br />
ssl = off<br />
</pre><br />
<br />
- sudo service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
<br />
<br />
'''15.''' Скачивание и развертывание Sed в /var/www/sed-citis:<br />
<br />
sudo apt install git<br />
Отключаем проверку ssl сертификата git-a<br />
git config --global http.sslVerify false<br />
<br />
создаем папку /var/www/sed-citis, даем ей права пользователя<br />
cd /var/www/<br />
git clone https://10.20.4.2:3030/citis/sed-citis.git<br />
<br />
sudo chown -R www-data:www-data /var/www/sed-citis/cache<br />
sudo chown -R www-data:www-data /var/www/sed-citis/storage<br />
sudo chown www-data:www-data /var/www/sed-citis/cabinet/img/citis_logo.png<br />
<br />
'''16.''' В файле /cfg/db.ini изменить пути:<br />
<br />
docfile_storage=/var/www/sed-citis/storage/docfiles<br />
storagedir = /var/www/sed-citis/storage<br />
<br />
16.4 На сервере сделать бэкап БД (Уточняем ссылки у администратора):<br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/30-11-2020.edfs (30-11-2020 - дата бэкапа) <br />
<br />
16.5 С сервера скопировать бэкап себе в /home/$USER:<br />
<br />
16.6 Распаковать бекап (вес бекапа > 250мб!):<br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/30-11-2020.edfs <br />
<br />
16.7 Сделаем pass единички на машине разработчика:<br />
sudo -u postgres psql postgres<br />
\c edfs <br />
UPDATE public.users SET pass = 1;<br />
\q<br />
<br />
16.7.1 на рабочем сервере чистим базу от тестовых записей используя sql из ajax/clean_edfs.php <br />
<br />
<br />
16.8 Перезапустить все:<br />
sudo service apache2 restart<br />
sudo service postgresql restart<br />
<br />
17. На ubuntu server может потребоваться библиотеки для конвертации в pdf<br />
<br />
sudo apt install libreoffice<br />
sudo apt-get install poppler-utils (библиотека отрисовки PDF, основанная на программе просмотра Xpdf)<br />
<br />
<br />
18. Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
sudo nano /etc/ImageMagick-6/policy.xml<br />
<br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
<br />
Меняем права доступа для PDF на write|read<br />
<policy domain="coder" rights="write|read" pattern="PDF" /><br />
<br />
Проверяем правильность настроечных параметров<br />
<br />
convert -list policy<br />
<br />
19. Установка криптоПро, необходимо для работы с ЭЦП <br />
<br />
https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/338/0/nstrojjk-rbochego-mest-pod-uprvleniem-os-linux-dlja-rboty-s-oblchnymi-sertifiktmi-ehlektronnojj-podpisi<br />
<br />
Качаем КриптоПро CSP 4.0R4 linux x64 предварительно зарегистрировавшись. Проверяем md5<br />
<br />
Распакуйте загруженный архив: tar -xvf linux-amd64_deb.tgz && cd linux-amd64_deb<br />
<br />
Установите основные пакеты КриптоПро CSP: sudo ./install.sh<br />
<br />
Ничего больше устанавливать не надо.<br />
<br />
<br />
<br />
Только на рабочем сервере подключаем выполнение задач в crone, если нужно<br />
<br />
*/1 * * * * /usr/bin/curl http://localhost/tools/conv_file_pull.php >/dev/null 2>&1<br />
*/30 * * * * /usr/bin/curl http://localhost/cabinet/ajax/orgStructure/orgStructureUpdate.php >/dev/null 2>&1<br />
*/1 * * * * /usr/bin/php /var/www/sed-citis/tools/signers/pull.php Megafon --verbose >/dev/nul 2>&1<br />
*/30 * * * * /usr/bin/php /var/www/sed-citis/postoffice-in-igdw.php >> /var/www/sed-citis/storage/logs/medo.log<br />
0 */4 * * * /usr/bin/curl http://localhost/cabinet/ajax/RSSParser/RSSParser.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/readOG.lib.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/writeOGstatus.php >/dev/null 2>&1<br />
*/6 * * * * /usr/bin/php /var/www/sed-citis/ajax/checkEmailDelivery.php >/dev/null 2>&1<br />
*/7 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
<br />
добавить файл /var/www/sed-citis/storage/logs/medo.log с правами пользователя<br />
<br />
<br />
20. Установка auditd на рабочем сервере<br />
sudo apt install auditd<br />
<br />
Добавляем в /etc/audit/rules.d/audit.rules правила <br />
<br />
-w /etc/shadow -p wa -k shadow <br />
-w /etc/passwd -p wa -k passwd <br />
##track all commands run by root (euid=0)<br />
-a exit,always -F arch=b64 -F euid=0 -S execve <br />
-a exit,always -F arch=b32 -F euid=0 -S execve<br />
service auditd restart<br />
<br />
Используем auditctl -l команду для проверки установленных правил<br />
<br />
21. Локальная настройка СЭД (на рабочем сервере). <br />
<br />
меняем логотип в админке<br />
cfg-local/header.php<br />
<br />
меняем штампы в админке <br />
storage/stamps/reg/sample/in_stamp.png<br />
storage/stamps/sign/sample/sig_ep_stamp.png<br />
storage/stamps/sign/sample/sig_sedo_stamp.png<br />
<br />
22. Монтируем папки для мэдо (на рабочем сервере)<br />
<br />
sudo apt install cifs-utils<br />
<br />
редактируем /etc/fstab<br />
23. Для настройки почты используем админку-Настройки сервера- нажать на 3 точки и далее вносим параметры.<br />
Для проверки работы почты необходимо:<br />
раскомментировать строку /var/www/sed-citis/tools/sendmail-notifications.php <br />
$l = sendmail('внести_почту_на_которой_будете_проверять', 'проверка', 'mail sdsd');<br />
и если не используется tls добавить две строки ниже $mail->Port = MAIL_CONFIG['port']; <br />
$mail->SMTPAutoTLS = false;<br />
$mail->SMTPSecure = 'none';</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Ubuntu_2020&diff=943
Установка sed на Ubuntu 2020
2022-11-03T17:14:13Z
<p>A.tolmachev: добавляем кол-во соединений</p>
<hr />
<div>= Установка SED на Ubuntu =<br />
Отключаем ipv6 (только на рабочем сервере)<br />
<pre><br />
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=1<br />
sudo sysctl -p<br />
</pre><br />
''' 1. ''' Cначала обновим систему до самой новой версии:<br />
sudo apt-get update<br />
sudo apt-get upgrade<br />
''' 2. ''' Установка Apache:<br />
sudo apt-get install apache2<br />
''' 3. ''' Отключаем модуль индексирования:<br />
sudo a2dismod autoindex<br />
''' 4. ''' Подключаем модули rewrite, headers:<br />
sudo a2enmod headers rewrite<br />
'''5.''' Правим конфигурацию apache2.conf, убираем indexes, None -> All:<br />
sudo nano /etc/apache2/apache2.conf<br />
Меняем:<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
'''6''' меняем время записи лога на неделю.<br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly''',<br />
время лога увеличиваем до года <br />
'''rotate 48''' <br />
<br />
<br />
''' 7. ''' Правим конфигурации security.conf:<br />
sudo nano /etc/apache2/conf-available/security.conf<br />
Правим константы:<br />
ServerTokens Prod<br />
ServerSignature Off<br />
<br />
<br />
'''9.''' Установка php:<br />
<br />
Если установлен по умолчанию php выше 7 версии, то удаляем его вместе с модулями, перечисленными ниже<br />
<br />
<br />
sudo apt install php7.4 libapache2-mod-php7.4<br />
sudo apt-get install php-curl7.4 php-gd7.4 php-ldap7.4 php-pgsql7.4 php-mbstring7.4 php-zip7.4 php-imagick7.4 php-imap7.4 php-intl7.4 php-xmlrpc7.4 php-soap7.4 php-xml7.4<br />
sudo apt-get install php-xdebug7.4 (устанавливается только на машине разработчика)<br />
<br />
<br />
Через phpinfo находим путь к php.ini. <br />
В php.ini выставляем директивы upload_max_filesize = 500M post_max_size = 500M<br />
<br />
<br />
- sudo apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)? проверить использование в проекте<br />
<br />
- на рабочем сервере правим cfg-local/header.php, tools/sendmail.php <br />
<br />
<br />
'''11.''' Создаем рабочую папку и файл конфигурации виртуального хоста apache:<br />
sudo mkdir -p /var/www/sed-citis<br />
sudo nano /etc/apache2/sites-available/sed.conf<br />
<br />
<br />
<pre><br />
<VirtualHost *:80> <br />
ServerName sed.local<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/sed-citis<br />
<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
</VirtualHost><br />
<br />
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet<br />
</pre><br />
<br />
''' 12.''' Активируем вируальный хост sed.conf. Отключаем сайт по умолчанию, заданный в файле 000-default.conf<br />
<pre><br />
sudo a2ensite sed.conf<br />
sudo a2dissite 000-default.conf<br />
</pre><br />
<br />
Перезапускаем Apache:<br />
sudo service apache2 restart<br />
<br />
''' 13.''' Установка Postgres <br />
sudo apt-get install postgresql <br />
<br />
-редактируем /etc/postgresql/{версия}/main/postgresql.conf<br />
max_connections =300<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- sudo service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
<br />
<br />
'''15.''' Скачивание и развертывание Sed в /var/www/sed-citis:<br />
<br />
sudo apt install git<br />
Отключаем проверку ssl сертификата git-a<br />
git config --global http.sslVerify false<br />
<br />
создаем папку /var/www/sed-citis, даем ей права пользователя<br />
cd /var/www/<br />
git clone https://10.20.4.2:3030/citis/sed-citis.git<br />
<br />
sudo chown -R www-data:www-data /var/www/sed-citis/cache<br />
sudo chown -R www-data:www-data /var/www/sed-citis/storage<br />
sudo chown www-data:www-data /var/www/sed-citis/cabinet/img/citis_logo.png<br />
<br />
'''16.''' В файле /cfg/db.ini изменить пути:<br />
<br />
docfile_storage=/var/www/sed-citis/storage/docfiles<br />
storagedir = /var/www/sed-citis/storage<br />
<br />
16.4 На сервере сделать бэкап БД (Уточняем ссылки у администратора):<br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/30-11-2020.edfs (30-11-2020 - дата бэкапа) <br />
<br />
16.5 С сервера скопировать бэкап себе в /home/$USER:<br />
<br />
16.6 Распаковать бекап (вес бекапа > 250мб!):<br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/30-11-2020.edfs <br />
<br />
16.7 Сделаем pass единички на машине разработчика:<br />
sudo -u postgres psql postgres<br />
\c edfs <br />
UPDATE public.users SET pass = 1;<br />
\q<br />
<br />
16.7.1 на рабочем сервере чистим базу от тестовых записей используя sql из ajax/clean_edfs.php <br />
<br />
<br />
16.8 Перезапустить все:<br />
sudo service apache2 restart<br />
sudo service postgresql restart<br />
<br />
17. На ubuntu server может потребоваться библиотеки для конвертации в pdf<br />
<br />
sudo apt install libreoffice<br />
sudo apt-get install poppler-utils (библиотека отрисовки PDF, основанная на программе просмотра Xpdf)<br />
<br />
<br />
18. Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
sudo nano /etc/ImageMagick-6/policy.xml<br />
<br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
<br />
Меняем права доступа для PDF на write|read<br />
<policy domain="coder" rights="write|read" pattern="PDF" /><br />
<br />
Проверяем правильность настроечных параметров<br />
<br />
convert -list policy<br />
<br />
19. Установка криптоПро, необходимо для работы с ЭЦП <br />
<br />
https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/338/0/nstrojjk-rbochego-mest-pod-uprvleniem-os-linux-dlja-rboty-s-oblchnymi-sertifiktmi-ehlektronnojj-podpisi<br />
<br />
Качаем КриптоПро CSP 4.0R4 linux x64 предварительно зарегистрировавшись. Проверяем md5<br />
<br />
Распакуйте загруженный архив: tar -xvf linux-amd64_deb.tgz && cd linux-amd64_deb<br />
<br />
Установите основные пакеты КриптоПро CSP: sudo ./install.sh<br />
<br />
Ничего больше устанавливать не надо.<br />
<br />
<br />
<br />
Только на рабочем сервере подключаем выполнение задач в crone, если нужно<br />
<br />
*/1 * * * * /usr/bin/curl http://localhost/tools/conv_file_pull.php >/dev/null 2>&1<br />
*/30 * * * * /usr/bin/curl http://localhost/cabinet/ajax/orgStructure/orgStructureUpdate.php >/dev/null 2>&1<br />
*/1 * * * * /usr/bin/php /var/www/sed-citis/tools/signers/pull.php Megafon --verbose >/dev/nul 2>&1<br />
*/30 * * * * /usr/bin/php /var/www/sed-citis/postoffice-in-igdw.php >> /var/www/sed-citis/storage/logs/medo.log<br />
0 */4 * * * /usr/bin/curl http://localhost/cabinet/ajax/RSSParser/RSSParser.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/readOG.lib.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/writeOGstatus.php >/dev/null 2>&1<br />
*/6 * * * * /usr/bin/php /var/www/sed-citis/ajax/checkEmailDelivery.php >/dev/null 2>&1<br />
*/7 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
<br />
добавить файл /var/www/sed-citis/storage/logs/medo.log с правами пользователя<br />
<br />
<br />
20. Установка auditd на рабочем сервере<br />
sudo apt install auditd<br />
<br />
Добавляем в /etc/audit/rules.d/audit.rules правила <br />
<br />
-w /etc/shadow -p wa -k shadow <br />
-w /etc/passwd -p wa -k passwd <br />
##track all commands run by root (euid=0)<br />
-a exit,always -F arch=b64 -F euid=0 -S execve <br />
-a exit,always -F arch=b32 -F euid=0 -S execve<br />
service auditd restart<br />
<br />
Используем auditctl -l команду для проверки установленных правил<br />
<br />
21. Локальная настройка СЭД (на рабочем сервере). <br />
<br />
меняем логотип в админке<br />
cfg-local/header.php<br />
<br />
меняем штампы в админке <br />
storage/stamps/reg/sample/in_stamp.png<br />
storage/stamps/sign/sample/sig_ep_stamp.png<br />
storage/stamps/sign/sample/sig_sedo_stamp.png<br />
<br />
22. Монтируем папки для мэдо (на рабочем сервере)<br />
<br />
sudo apt install cifs-utils<br />
<br />
редактируем /etc/fstab<br />
23. Для настройки почты используем админку-Настройки сервера- нажать на 3 точки и далее вносим параметры.<br />
Для проверки работы почты необходимо:<br />
раскомментировать строку /var/www/sed-citis/tools/sendmail-notifications.php <br />
$l = sendmail('внести_почту_на_которой_будете_проверять', 'проверка', 'mail sdsd');<br />
и если не используется tls добавить две строки ниже $mail->Port = MAIL_CONFIG['port']; <br />
$mail->SMTPAutoTLS = false;<br />
$mail->SMTPSecure = 'none';</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Ubuntu_2020&diff=931
Установка sed на Ubuntu 2020
2022-09-24T09:20:45Z
<p>A.tolmachev: </p>
<hr />
<div>= Установка SED на Ubuntu =<br />
Отключаем ipv6<br />
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=1<br />
sudo sysctl -p<br />
''' 1. ''' Cначала обновим систему до самой новой версии:<br />
sudo apt-get update<br />
sudo apt-get upgrade<br />
''' 2. ''' Установка Apache:<br />
sudo apt-get install apache2<br />
''' 3. ''' Отключаем модуль индексирования:<br />
sudo a2dismod autoindex<br />
''' 4. ''' Подключаем модули rewrite, headers:<br />
sudo a2enmod headers rewrite<br />
'''5.''' Правим конфигурацию apache2.conf, убираем indexes, None -> All:<br />
sudo nano /etc/apache2/apache2.conf<br />
Меняем:<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
'''6''' меняем время записи лога на неделю.<br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly''',<br />
время лога увеличиваем до года <br />
'''rotate 48''' <br />
<br />
<br />
''' 7. ''' Правим конфигурации security.conf:<br />
sudo nano /etc/apache2/conf-available/security.conf<br />
Правим константы:<br />
ServerTokens Prod<br />
ServerSignature Off<br />
<br />
<br />
'''9.''' Установка php:<br />
<br />
sudo apt install php libapache2-mod-php<br />
sudo apt-get install php-curl php-gd php-ldap php-pgsql php-mbstring php-zip php-apcu php-imagick php-imap php-intl php-xmlrpc php-soap php-xml<br />
sudo apt-get install php-xdebug (устанавливается только на машине разработчика)<br />
<br />
<br />
Через phpinfo находим путь к php.ini. <br />
В php.ini выставляем директивы upload_max_filesize = 500M post_max_size = 500M<br />
<br />
<br />
- sudo apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)? проверить использование в проекте<br />
<br />
- на рабочем сервере правим cfg-local/header.php, tools/sendmail.php <br />
<br />
<br />
'''11.''' Создаем рабочую папку и файл конфигурации виртуального хоста apache:<br />
sudo mkdir -p /var/www/sed-citis<br />
sudo nano /etc/apache2/sites-available/sed.conf<br />
<br />
<br />
<pre><br />
<VirtualHost *:80> <br />
ServerName sed.local<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/sed-citis<br />
<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
</VirtualHost><br />
<br />
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet<br />
</pre><br />
<br />
''' 12.''' Активируем вируальный хост sed.conf. Отключаем сайт по умолчанию, заданный в файле 000-default.conf<br />
<pre><br />
sudo a2ensite sed.conf<br />
sudo a2dissite 000-default.conf<br />
</pre><br />
<br />
Перезапускаем Apache:<br />
sudo service apache2 restart<br />
<br />
''' 13.''' Установка Postgres <br />
sudo apt-get install postgresql <br />
<br />
-редактируем /etc/postgresql/{версия}/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- sudo service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
<br />
<br />
'''15.''' Скачивание и развертывание Sed в /var/www/sed-citis:<br />
<br />
sudo apt install git<br />
Отключаем проверку ssl сертификата git-a<br />
git config --global http.sslVerify false<br />
<br />
создаем папку /var/www/sed-citis, даем ей права пользователя<br />
cd /var/www/<br />
git clone https://10.20.4.2:3030/citis/sed-citis.git<br />
<br />
sudo chown -R www-data:www-data /var/www/sed-citis/cache<br />
sudo chown -R www-data:www-data /var/www/sed-citis/storage<br />
sudo chown www-data:www-data /var/www/sed-citis/cabinet/img/citis_logo.png<br />
<br />
'''16.''' В файле /cfg/db.ini изменить пути:<br />
<br />
docfile_storage=/var/www/sed-citis/storage/docfiles<br />
storagedir = /var/www/sed-citis/storage<br />
<br />
16.4 На сервере сделать бэкап БД (Уточняем ссылки у администратора):<br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/30-11-2020.edfs (30-11-2020 - дата бэкапа) <br />
<br />
16.5 С сервера скопировать бэкап себе в /home/$USER:<br />
<br />
16.6 Распаковать бекап (вес бекапа > 250мб!):<br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/30-11-2020.edfs <br />
<br />
16.7 Сделаем pass единички на машине разработчика:<br />
sudo -u postgres psql postgres<br />
\c edfs <br />
UPDATE public.users SET pass = 1;<br />
\q<br />
<br />
16.7.1 на рабочем сервере чистим базу от тестовых записей используя sql из ajax/clean_edfs.php <br />
<br />
<br />
16.8 Перезапустить все:<br />
sudo service apache2 restart<br />
sudo service postgresql restart<br />
<br />
17. На ubuntu server может потребоваться библиотеки для конвертации в pdf<br />
<br />
sudo apt install libreoffice<br />
sudo apt-get install poppler-utils (библиотека отрисовки PDF, основанная на программе просмотра Xpdf)<br />
<br />
<br />
18. Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
sudo nano /etc/ImageMagick-6/policy.xml<br />
<br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
<br />
Меняем права доступа для PDF на write|read<br />
<policy domain="coder" rights="write|read" pattern="PDF" /><br />
<br />
Проверяем правильность настроечных параметров<br />
<br />
convert -list policy<br />
<br />
19. Установка криптоПро, необходимо для работы с ЭЦП <br />
<br />
https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/338/0/nstrojjk-rbochego-mest-pod-uprvleniem-os-linux-dlja-rboty-s-oblchnymi-sertifiktmi-ehlektronnojj-podpisi<br />
<br />
Качаем КриптоПро CSP 4.0R4 linux x64 предварительно зарегистрировавшись. Проверяем md5<br />
<br />
Распакуйте загруженный архив: tar -xvf linux-amd64_deb.tgz && cd linux-amd64_deb<br />
<br />
Установите основные пакеты КриптоПро CSP: sudo ./install.sh<br />
<br />
Ничего больше устанавливать не надо.<br />
<br />
<br />
<br />
Только на рабочем сервере подключаем выполнение задач в crone, если нужно<br />
<br />
*/1 * * * * /usr/bin/curl http://localhost/tools/conv_file_pull.php >/dev/null 2>&1<br />
*/30 * * * * /usr/bin/curl http://localhost/cabinet/ajax/orgStructure/orgStructureUpdate.php >/dev/null 2>&1<br />
*/1 * * * * /usr/bin/php /var/www/sed-citis/tools/signers/pull.php Megafon --verbose >/dev/nul 2>&1<br />
*/30 * * * * /usr/bin/php /var/www/sed-citis/postoffice-in-igdw.php >> /var/www/sed-citis/storage/logs/medo.log<br />
0 */4 * * * /usr/bin/curl http://localhost/cabinet/ajax/RSSParser/RSSParser.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/readOG.lib.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/writeOGstatus.php >/dev/null 2>&1<br />
*/6 * * * * /usr/bin/php /var/www/sed-citis/ajax/checkEmailDelivery.php >/dev/null 2>&1<br />
*/7 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
<br />
добавить файл /var/www/sed-citis/storage/logs/medo.log с правами пользователя<br />
<br />
<br />
20. Установка auditd на рабочем сервере<br />
sudo apt install auditd<br />
<br />
Добавляем в /etc/audit/rules.d/audit.rules правила <br />
<br />
-w /etc/shadow -p wa -k shadow <br />
-w /etc/passwd -p wa -k passwd <br />
##track all commands run by root (euid=0)<br />
-a exit,always -F arch=b64 -F euid=0 -S execve <br />
-a exit,always -F arch=b32 -F euid=0 -S execve<br />
service auditd restart<br />
<br />
Используем auditctl -l команду для проверки установленных правил<br />
<br />
21. Локальная настройка СЭД (на рабочем сервере). <br />
<br />
меняем логотип в админке<br />
cfg-local/header.php<br />
<br />
меняем штампы в админке <br />
storage/stamps/reg/sample/in_stamp.png<br />
storage/stamps/sign/sample/sig_ep_stamp.png<br />
storage/stamps/sign/sample/sig_sedo_stamp.png<br />
<br />
22. Монтируем папки для мэдо (на рабочем сервере)<br />
<br />
sudo apt install cifs-utils<br />
<br />
редактируем /etc/fstab<br />
23. Для настройки почты используем админку-Настройки сервера- нажать на 3 точки и далее вносим параметры.<br />
Для проверки работы почты необходимо:<br />
раскомментировать строку /var/www/sed-citis/tools/sendmail-notifications.php <br />
$l = sendmail('внести_почту_на_которой_будете_проверять', 'проверка', 'mail sdsd');<br />
и если не используется tls добавить две строки ниже $mail->Port = MAIL_CONFIG['port']; <br />
$mail->SMTPAutoTLS = false;<br />
$mail->SMTPSecure = 'none';</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_sed_%D0%BD%D0%B0_Ubuntu_2020&diff=930
Установка sed на Ubuntu 2020
2022-09-23T10:38:24Z
<p>A.tolmachev: /* Установка SED на Ubuntu */</p>
<hr />
<div>= Установка SED на Ubuntu =<br />
Отключаем ipv6<br />
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1<br />
sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=1<br />
sudo sysctl -p<br />
''' 1. ''' Cначала обновим систему до самой новой версии:<br />
sudo apt-get update<br />
sudo apt-get upgrade<br />
''' 2. ''' Установка Apache:<br />
sudo apt-get install apache2<br />
''' 3. ''' Отключаем модуль индексирования:<br />
sudo a2dismod autoindex<br />
''' 4. ''' Подключаем модули rewrite, headers:<br />
sudo a2enmod headers rewrite<br />
'''5.''' Правим конфигурацию apache2.conf, убираем indexes, None -> All:<br />
sudo nano /etc/apache2/apache2.conf<br />
Меняем:<br />
<pre><br />
<Directory /var/www/><br />
# Options Indexes FollowSymLinks<br />
Options FollowSymLinks<br />
AllowOverride All<br />
Require all granted<br />
</Directory><br />
</pre><br />
<br />
'''6''' меняем время записи лога на неделю.<br />
<br />
В файле /etc/logrotate.d/apache2 ставим '''weekly''',<br />
время лога увеличиваем до года <br />
'''rotate 48''' <br />
<br />
<br />
''' 7. ''' Правим конфигурации security.conf:<br />
sudo nano /etc/apache2/conf-available/security.conf<br />
Правим константы:<br />
ServerTokens Prod<br />
ServerSignature Off<br />
<br />
<br />
'''9.''' Установка php:<br />
<br />
sudo apt install php libapache2-mod-php<br />
sudo apt-get install php-curl php-gd php-ldap php-pgsql php-mbstring php-zip php-apcu php-imagick php-imap php-intl php-xmlrpc php-soap php-xml<br />
sudo apt-get install php-xdebug (устанавливается только на машине разработчика)<br />
<br />
<br />
Через phpinfo находим путь к php.ini. <br />
В php.ini выставляем директивы upload_max_filesize = 500M post_max_size = 500M<br />
<br />
<br />
- sudo apt-get install netpbm (toolkit for manipulation of graphic images, including conversion of images between a variety of different formats)? проверить использование в проекте<br />
<br />
- на рабочем сервере правим cfg-local/header.php, tools/sendmail.php <br />
<br />
<br />
'''11.''' Создаем рабочую папку и файл конфигурации виртуального хоста apache:<br />
sudo mkdir -p /var/www/sed-citis<br />
sudo nano /etc/apache2/sites-available/sed.conf<br />
<br />
<br />
<pre><br />
<VirtualHost *:80> <br />
ServerName sed.local<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/sed-citis<br />
<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
</VirtualHost><br />
<br />
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet<br />
</pre><br />
<br />
''' 12.''' Активируем вируальный хост sed.conf. Отключаем сайт по умолчанию, заданный в файле 000-default.conf<br />
<pre><br />
sudo a2ensite sed.conf<br />
sudo a2dissite 000-default.conf<br />
</pre><br />
<br />
Перезапускаем Apache:<br />
sudo service apache2 restart<br />
<br />
''' 13.''' Установка Postgres <br />
sudo apt-get install postgresql <br />
<br />
-редактируем /etc/postgresql/{версия}/main/postgresql.conf<br />
<pre><br />
ssl = off<br />
</pre><br />
<br />
- sudo service postgresql restart<br />
<br />
- меняем дефолтный пароль postgres<br />
<br />
<pre><br />
sudo -u postgres psql postgres<br />
\password postgres<br />
Ввести пароль ЕДИНИЧКУ (1)<br />
Повторить пароль<br />
</pre><br />
<br />
- добавляем пользователя 'www-data':<br />
<pre><br />
CREATE USER "www-data" WITH PASSWORD 'pass';<br />
</pre><br />
<br />
- создаем БД<br />
<pre><br />
CREATE DATABASE edfs OWNER "www-data";<br />
\q<br />
</pre><br />
<br />
- на сервере сделать бэкап БД:<br />
<pre><br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/2020-09-30.edfs (2020-09-30 - дата бэкапа)<br />
</pre><br />
- с сервера скопировать бэкап себе в /home/$USER<br />
<pre><br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/2020-09-30.edfs<br />
</pre><br />
<br />
<br />
'''15.''' Скачивание и развертывание Sed в /var/www/sed-citis:<br />
<br />
sudo apt install git<br />
Отключаем проверку ssl сертификата git-a<br />
git config --global http.sslVerify false<br />
<br />
создаем папку /var/www/sed-citis, даем ей права пользователя<br />
cd /var/www/<br />
git clone https://10.20.4.2:3030/citis/sed-citis.git<br />
<br />
sudo chown -R www-data:www-data /var/www/sed-citis/cache<br />
sudo chown -R www-data:www-data /var/www/sed-citis/storage<br />
sudo chown www-data:www-data /var/www/sed-citis/cabinet/img/citis_logo.png<br />
<br />
'''16.''' В файле /cfg/db.ini изменить пути:<br />
<br />
docfile_storage=/var/www/sed-citis/storage/docfiles<br />
storagedir = /var/www/sed-citis/storage<br />
<br />
16.4 На сервере сделать бэкап БД (Уточняем ссылки у администратора):<br />
pg_dump -h localhost -p 5432 -U postgres -F c -C -d edfs > ~/30-11-2020.edfs (30-11-2020 - дата бэкапа) <br />
<br />
16.5 С сервера скопировать бэкап себе в /home/$USER:<br />
<br />
16.6 Распаковать бекап (вес бекапа > 250мб!):<br />
pg_restore -h localhost -p 5432 -U postgres -d edfs ~/30-11-2020.edfs <br />
<br />
16.7 Сделаем pass единички на машине разработчика:<br />
sudo -u postgres psql postgres<br />
\c edfs <br />
UPDATE public.users SET pass = 1;<br />
\q<br />
<br />
16.7.1 на рабочем сервере чистим базу от тестовых записей используя sql из ajax/clean_edfs.php <br />
<br />
<br />
16.8 Перезапустить все:<br />
sudo service apache2 restart<br />
sudo service postgresql restart<br />
<br />
17. На ubuntu server может потребоваться библиотеки для конвертации в pdf<br />
<br />
sudo apt install libreoffice<br />
sudo apt-get install poppler-utils (библиотека отрисовки PDF, основанная на программе просмотра Xpdf)<br />
<br />
<br />
18. Устанавливаем imagemagick для загрузки фотографий и настраиваем его безопасность<br />
<br />
sudo apt install imagemagick<br />
<br />
sudo nano /etc/ImageMagick-6/policy.xml<br />
<br />
<policy domain="coder" rights="none" pattern="EPHEMERAL" /><br />
<policy domain="coder" rights="none" pattern="HTTPS" /><br />
<policy domain="coder" rights="none" pattern="MVG" /><br />
<policy domain="coder" rights="none" pattern="MSL" /><br />
<policy domain="coder" rights="none" pattern="TEXT" /><br />
<policy domain="coder" rights="none" pattern="SHOW" /><br />
<policy domain="coder" rights="none" pattern="WIN" /><br />
<policy domain="coder" rights="none" pattern="PLT" /><br />
<br />
<policy domain="path" rights="none" pattern="@*" /><br />
<br />
Меняем права доступа для PDF на write|read<br />
<policy domain="coder" rights="write|read" pattern="PDF" /><br />
<br />
Проверяем правильность настроечных параметров<br />
<br />
convert -list policy<br />
<br />
19. Установка криптоПро, необходимо для работы с ЭЦП <br />
<br />
https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/338/0/nstrojjk-rbochego-mest-pod-uprvleniem-os-linux-dlja-rboty-s-oblchnymi-sertifiktmi-ehlektronnojj-podpisi<br />
<br />
Качаем КриптоПро CSP 4.0R4 linux x64 предварительно зарегистрировавшись. Проверяем md5<br />
<br />
Распакуйте загруженный архив: tar -xvf linux-amd64_deb.tgz && cd linux-amd64_deb<br />
<br />
Установите основные пакеты КриптоПро CSP: sudo ./install.sh<br />
<br />
Ничего больше устанавливать не надо.<br />
<br />
<br />
<br />
Только на рабочем сервере подключаем выполнение задач в crone, если нужно<br />
<br />
*/1 * * * * /usr/bin/curl http://localhost/tools/conv_file_pull.php >/dev/null 2>&1<br />
*/30 * * * * /usr/bin/curl http://localhost/cabinet/ajax/orgStructure/orgStructureUpdate.php >/dev/null 2>&1<br />
*/1 * * * * /usr/bin/php /var/www/sed-citis/tools/signers/pull.php Megafon --verbose >/dev/nul 2>&1<br />
*/30 * * * * /usr/bin/php /var/www/sed-citis/postoffice-in-igdw.php >> /var/www/sed-citis/storage/logs/medo.log<br />
0 */4 * * * /usr/bin/curl http://localhost/cabinet/ajax/RSSParser/RSSParser.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/readOG.lib.php >/dev/null 2>&1<br />
*/5 * * * * /usr/bin/php /var/www/sed-citis/tools/citizensAppealsFromSite/writeOGstatus.php >/dev/null 2>&1<br />
*/6 * * * * /usr/bin/php /var/www/sed-citis/ajax/checkEmailDelivery.php >/dev/null 2>&1<br />
*/7 * * * * /usr/bin/php /var/www/sed-citis/tools/Notification.php send --verbose >/dev/null 2>&1<br />
<br />
добавить файл /var/www/sed-citis/storage/logs/medo.log с правами пользователя<br />
<br />
<br />
20. Установка auditd на рабочем сервере<br />
sudo apt install auditd<br />
<br />
Добавляем в /etc/audit/rules.d/audit.rules правила <br />
<br />
-w /etc/shadow -p wa -k shadow <br />
-w /etc/passwd -p wa -k passwd <br />
##track all commands run by root (euid=0)<br />
-a exit,always -F arch=b64 -F euid=0 -S execve <br />
-a exit,always -F arch=b32 -F euid=0 -S execve<br />
service auditd restart<br />
<br />
Используем auditctl -l команду для проверки установленных правил<br />
<br />
21. Локальная настройка СЭД (на рабочем сервере). <br />
<br />
меняем логотип в админке<br />
cfg-local/header.php<br />
<br />
меняем штампы в админке <br />
storage/stamps/reg/sample/in_stamp.png<br />
storage/stamps/sign/sample/sig_ep_stamp.png<br />
storage/stamps/sign/sample/sig_sedo_stamp.png<br />
<br />
22. Монтируем папки для мэдо (на рабочем сервере)<br />
<br />
sudo apt install cifs-utils<br />
<br />
редактируем /etc/fstab</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_telegram&diff=927
Установка сервера telegram
2022-08-31T05:54:08Z
<p>A.tolmachev: </p>
<hr />
<div>'''Установка на Ubuntu 16.04.3 и выше'''<br><br />
Установить на сервере-шлюзе Samba<br><br />
sudo apt-get install samba<br><br />
Разрешаем автостарт сервиса:<br><br />
sudo systemctl enable smbd<br><br />
И проверим, что сервис запустился: <br><br />
sudo systemctl status smbd<br><br />
Создадим пользователя для доступа к папке<br><br />
sudo useradd telegra<br><br />
Назначим ему пароль<br><br />
sudo passwd telegra<br><br />
Дважды введем пароль<br><br />
Создадим пользователя в самбе<br><br />
sudo smbpasswd -a telegra<br><br />
Теперь создадим папку, доступ к которой будут иметь ограниченное количество пользователей.<br><br />
Открываем конфигурационный файл samba:<br><br />
sudo nano /etc/samba/smb.conf<br><br />
Добавляем настройку для новой папки в конец файла, комментим строчки с принтерами (если они не нужны):<br><br />
[telegram]<br><br />
comment = Private Folder<br><br />
path = /var/www/telegram<br><br />
public = no<br><br />
writable = no<br><br />
read only = yes<br><br />
guest ok = no<br><br />
valid users = admin, telegra<br><br />
write list = admin, telegra<br><br />
create mask = 0777<br><br />
directory mask = 0777<br><br />
force create mode = 0777<br><br />
force directory mode = 0777<br><br />
inherit owner = yes<br><br />
* стоит обратить внимание на следующие настройки:<br><br />
path = /data/private — используем новый путь до папки.<br><br />
writable = no и read only = yes — в данном примере мы разрешим запись в каталог только некоторым пользователям. Поэтому общие настройки, разрешающие запись в папку, должны быть запрещены.<br><br />
valid users — список пользователей, которым разрешено подключаться к каталогу. В данном примере разрешения работают для пользователей admin, telegra, а также для всех, кто входим в группу privateusers.<br><br />
write list — список пользователей, которые имеют доступ к папке на чтение и запись. В данном примере мы разрешаем это только для пользователей admin и telegra.<br><br />
inherit owner — опция позволяем включить наследование владельца при создании папок и файлов.<br><br />
* если мы хотим, чтобы доступ к каталогу был полный у определенных пользователей (без разделения на тех, кто может только читать и тех, кто может также писать в папку), то опцию write list можно не указывать, а опции writable и read only оставить как в примерах выше.<br><br />
Создаем каталог для новой папки:<br><br />
sudo mkdir /var/www/telegram<br><br />
Задаем права на созданный каталог:<br><br />
sudo chmod 777 /var/www/telegram<br><br />
Для применения настроек перезапускаем samba:<br><br />
sudo systemctl restart smbd<br><br />
Проверяем возможность работы с новым каталогом.<br><br />
На сервере СЭД добавляем строку в конец файла fstab, меняя password на созданный пароль<br><br />
sudo nano /etc/fstab<br><br />
//192.168.123.103/telegram/storage/outbox /var/www/sed-citis/storage/exchange/telegram/outbox cifs user=telegra,pass=password,iocharset=utf8,noperm,uid=www-data,gid=www-data,dir_mode=0777,file_mode=0777,auto 0 0<br><br />
Далее монтируем<br><br />
sudo mount -a<br><br />
Если ошибка mount error(95): Operation not supported<br><br />
То необходимо изменить строку<br><br />
sudo nano /etc/fstab<br><br />
//192.168.123.103/telegram/storage/outbox /var/www/sed-citis/storage/exchange/telegram/outbox cifs user=telegra,pass=password,iocharset=utf8,vers=2.0,noperm,uid=www-data,gid=www-data,dir_mode=0777,file_mode=0777,auto 0 0<br><br />
'''Создание сертификата'''<br><br />
Сайт, для которого вы хотите создать SSL сертификат должен уже быть доступен без HTTPS на порту 80. Поэтому его виртуальный хост Apache должен уже быть настроен. В этом примере я буду получать сертификат для edu.citis.ru. Для примера можно создать такой виртуальный хост:<br><br />
sudo nano /etc/apache2/sites-available/edu-citis-ru.conf<br><br />
<VirtualHost *:80><br><br />
ServerName edu.citis.ru<br><br />
ServerAlias www.edu.citis.ru<br><br />
ServerAdmin webmaster@localhost<br><br />
DocumentRoot /var/www/<br><br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br><br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br><br />
RewriteEngine on<br><br />
RewriteCond %{SERVER_NAME} =edu.citis.ru [OR]<br><br />
RewriteCond %{SERVER_NAME} =www.edu.citis.ru<br><br />
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]<br><br />
</VirtualHost><br><br />
Выходим сохраняя изменения.<br><br />
Клиент Lets Encrypt называется Certbot. Он доступен в официальных репозиториях. Для установки выполните такие команды:<br><br />
sudo apt install certbot python-certbot-apache<br><br />
Если последний пакет не найдется надо ставить python3-certbot-apache<br><br />
Далее генерируем сертификат<br><br />
sudo certbot certonly --apache -d edu.citis.ru -d www.edu.citis.ru<br><br />
При первом запуске утилита предложит вам указать ваш Email адрес, для того чтобы отправлять вам уведомления о необходимости обновить сертификат и новости, а также попросит принять лицензионное соглашение.<br><br />
А потом спросит можно ли передать ваш адрес их партнёрам. Ответить No. Только после этого начнётся генерация сертификата<br><br />
Программа сообщает, что сертификат сохранён в папке /etc/letsencrypt/live/edu.citis.ru/ и вы можете его использовать.<br><br />
Если вы посмотрите в папку /etc/letsencrypt/live/edu.citis.ru, то увидите там четыре файла:<br><br />
<br />
cert.pem - файл сертификата, его необходимо прописать в параметре SSLCertificateFile;<br><br />
chain.pem - файл цепочки сертификата, обычно прописывается в параметре SSLCertificateChainFile;<br><br />
privkey.pem - приватный ключ сертификата, должен быть прописан в SSLCertificateKeyFile;<br><br />
fullchain.pem - в нём объединено содержимое cert.pem и chain.pem, можно использовать вместо этих обоих файлов.<br><br />
Необходимо файлы сгенерированные перенести в другую папку (до текущей папки нет доступа у апача)<br><br />
sudo mkdir /etc/apache/ssl<br><br />
sudo mv /etc/letsencrypt/live/edu.citis.ru/* /etc/apache/ssl/*<br><br />
Для обычного сайта у нас виртуальный хост существует. Осталось создать виртуальный хост для SSL версии. Тут кроме стандартных настроек надо добавить четыре параметра.<br><br />
<br />
SSLEngine on<br><br />
SSLCertificateFile /путь/к/сертификату.pem<br><br />
SSLCertificateChainFile /путь/к/сертификату/цепочки.pem<br><br />
SSLCertificateKeyFile /путь/к/приватному/ключу.pem<br><br />
<br />
Например:<br><br />
<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br><br />
<br />
<VirtualHost *:443><br><br />
ServerName edu.citis.ru<br><br />
ServerAlias www.edu.citis.ru<br><br />
ServerAdmin webmaster@localhost<br><br />
DocumentRoot /var/www/<br><br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br><br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br><br />
SSLEngine on<br><br />
SSLCertificateFile /etc/letsencrypt/live/edu.citis.ru/cert.pem<br><br />
SSLCertificateChainFile /etc/letsencrypt/live/edu.citis.ru/chain.pem<br><br />
SSLCertificateKeyFile /etc/letsencrypt/live/edu.citis.ru/privkey.pem<br><br />
</VirtualHost><br><br />
Этой конфигурации достаточно чтобы всё заработало. Затем активируйте этот виртуальный хост:<br><br />
sudo a2ensite edu-citis-ru-ssl<br><br />
И не забудьте включить модуль для поддержки SSL:<br><br />
sudo a2enmod ssl<br><br />
Проверьте работоспособность открыв домен в браузере.<br><br />
Чтобы добавить больше безопасности можно указать какие протоколы SSL следует использовать. Например, для того чтобы отключить SSLv2 и SSLv3, а также TLS ниже 1.2 добавьте:<br><br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br><br />
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1<br></div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_telegram&diff=926
Установка сервера telegram
2022-08-31T05:51:48Z
<p>A.tolmachev: </p>
<hr />
<div>'''Установка на Ubuntu 16.04.3 и выше'''<br><br />
Установить на сервере-шлюзе Samba<br><br />
sudo apt-get install samba<br><br />
Разрешаем автостарт сервиса:<br><br />
<br />
sudo systemctl enable smbd<br />
И проверим, что сервис запустился: <br />
sudo systemctl status smbd<br />
Создадим пользователя для доступа к папке<br />
sudo useradd telegra<br />
Назначим ему пароль<br />
sudo passwd telegra<br />
Дважды введем пароль<br />
Создадим пользователя в самбе<br />
sudo smbpasswd -a telegra<br />
Теперь создадим папку, доступ к которой будут иметь ограниченное количество пользователей.<br />
Открываем конфигурационный файл samba:<br />
sudo nano /etc/samba/smb.conf<br />
Добавляем настройку для новой папки в конец файла, комментим строчки с принтерами (если они не нужны):<br />
[telegram]<br />
comment = Private Folder<br />
path = /var/www/telegram<br />
public = no<br />
writable = no<br />
read only = yes<br />
guest ok = no<br />
valid users = admin, telegra<br />
write list = admin, telegra<br />
create mask = 0777<br />
directory mask = 0777<br />
force create mode = 0777<br />
force directory mode = 0777<br />
inherit owner = yes<br />
* стоит обратить внимание на следующие настройки:<br />
path = /data/private — используем новый путь до папки.<br />
writable = no и read only = yes — в данном примере мы разрешим запись в каталог только некоторым пользователям. Поэтому общие настройки, разрешающие запись в папку, должны быть запрещены.<br />
valid users — список пользователей, которым разрешено подключаться к каталогу. В данном примере разрешения работают для пользователей admin, telegra, а также для всех, кто входим в группу privateusers.<br />
write list — список пользователей, которые имеют доступ к папке на чтение и запись. В данном примере мы разрешаем это только для пользователей admin и telegra.<br />
inherit owner — опция позволяем включить наследование владельца при создании папок и файлов.<br />
* если мы хотим, чтобы доступ к каталогу был полный у определенных пользователей (без разделения на тех, кто может только читать и тех, кто может также писать в папку), то опцию write list можно не указывать, а опции writable и read only оставить как в примерах выше.<br />
Создаем каталог для новой папки:<br />
sudo mkdir /var/www/telegram<br />
Задаем права на созданный каталог:<br />
sudo chmod 777 /var/www/telegram<br />
Для применения настроек перезапускаем samba:<br />
sudo systemctl restart smbd<br />
Проверяем возможность работы с новым каталогом.<br />
На сервере СЭД добавляем строку в конец файла fstab, меняя password на созданный пароль<br />
sudo nano /etc/fstab<br />
//192.168.123.103/telegram/storage/outbox /var/www/sed-citis/storage/exchange/telegram/outbox cifs user=telegra,pass=password,iocharset=utf8,noperm,uid=www-data,gid=www-data,dir_mode=0777,file_mode=0777,auto 0 0<br />
Далее монтируем<br />
sudo mount -a<br />
Если ошибка mount error(95): Operation not supported<br />
То необходимо изменить строку<br />
sudo nano /etc/fstab<br />
//192.168.123.103/telegram/storage/outbox /var/www/sed-citis/storage/exchange/telegram/outbox cifs user=telegra,pass=password,iocharset=utf8,vers=2.0,noperm,uid=www-data,gid=www-data,dir_mode=0777,file_mode=0777,auto 0 0<br />
'''Создание сертификата'''<br />
Сайт, для которого вы хотите создать SSL сертификат должен уже быть доступен без HTTPS на порту 80. Поэтому его виртуальный хост Apache должен уже быть настроен. В этом примере я буду получать сертификат для edu.citis.ru. Для примера можно создать такой виртуальный хост:<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru.conf<br />
<VirtualHost *:80><br />
ServerName edu.citis.ru<br />
ServerAlias www.edu.citis.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
RewriteEngine on<br />
RewriteCond %{SERVER_NAME} =edu.citis.ru [OR]<br />
RewriteCond %{SERVER_NAME} =www.edu.citis.ru<br />
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]<br />
</VirtualHost><br />
Выходим сохраняя изменения.<br />
Клиент Lets Encrypt называется Certbot. Он доступен в официальных репозиториях. Для установки выполните такие команды:<br />
sudo apt install certbot python-certbot-apache<br />
Если последний пакет не найдется надо ставить python3-certbot-apache<br />
Далее генерируем сертификат<br />
sudo certbot certonly --apache -d edu.citis.ru -d www.edu.citis.ru<br />
При первом запуске утилита предложит вам указать ваш Email адрес, для того чтобы отправлять вам уведомления о необходимости обновить сертификат и новости, а также попросит принять лицензионное соглашение.<br />
А потом спросит можно ли передать ваш адрес их партнёрам. Ответить No. Только после этого начнётся генерация сертификата<br />
Программа сообщает, что сертификат сохранён в папке /etc/letsencrypt/live/edu.citis.ru/ и вы можете его использовать.<br />
Если вы посмотрите в папку /etc/letsencrypt/live/edu.citis.ru, то увидите там четыре файла:<br />
<br />
cert.pem - файл сертификата, его необходимо прописать в параметре SSLCertificateFile;<br />
chain.pem - файл цепочки сертификата, обычно прописывается в параметре SSLCertificateChainFile;<br />
privkey.pem - приватный ключ сертификата, должен быть прописан в SSLCertificateKeyFile;<br />
fullchain.pem - в нём объединено содержимое cert.pem и chain.pem, можно использовать вместо этих обоих файлов.<br />
Необходимо файлы сгенерированные перенести в другую папку (до текущей папки нет доступа у апача)<br />
sudo mkdir /etc/apache/ssl<br />
sudo mv /etc/letsencrypt/live/edu.citis.ru/* /etc/apache/ssl/*<br />
Для обычного сайта у нас виртуальный хост существует. Осталось создать виртуальный хост для SSL версии. Тут кроме стандартных настроек надо добавить четыре параметра.<br />
<br />
SSLEngine on<br />
SSLCertificateFile /путь/к/сертификату.pem<br />
SSLCertificateChainFile /путь/к/сертификату/цепочки.pem<br />
SSLCertificateKeyFile /путь/к/приватному/ключу.pem<br />
<br />
Например:<br />
<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br />
<br />
<VirtualHost *:443><br />
ServerName edu.citis.ru<br />
ServerAlias www.edu.citis.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
SSLEngine on<br />
SSLCertificateFile /etc/letsencrypt/live/edu.citis.ru/cert.pem<br />
SSLCertificateChainFile /etc/letsencrypt/live/edu.citis.ru/chain.pem<br />
SSLCertificateKeyFile /etc/letsencrypt/live/edu.citis.ru/privkey.pem<br />
</VirtualHost><br />
Этой конфигурации достаточно чтобы всё заработало. Затем активируйте этот виртуальный хост:<br />
sudo a2ensite edu-citis-ru-ssl<br />
И не забудьте включить модуль для поддержки SSL:<br />
sudo a2enmod ssl<br />
Проверьте работоспособность открыв домен в браузере.<br />
Чтобы добавить больше безопасности можно указать какие протоколы SSL следует использовать. Например, для того чтобы отключить SSLv2 и SSLv3, а также TLS ниже 1.2 добавьте:<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br />
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_telegram&diff=925
Установка сервера telegram
2022-08-30T09:13:29Z
<p>A.tolmachev: </p>
<hr />
<div>'''Установка на Ubuntu 16.04.3 и выше'''<br />
Установить на сервере-шлюзе Samba<br />
sudo apt-get install samba<br />
Разрешаем автостарт сервиса:<br />
sudo systemctl enable smbd<br />
И проверим, что сервис запустился: <br />
sudo systemctl status smbd<br />
Создадим пользователя для доступа к папке<br />
sudo useradd telegra<br />
Назначим ему пароль<br />
sudo passwd telegra<br />
Дважды введем пароль<br />
Создадим пользователя в самбе<br />
sudo smbpasswd -a telegra<br />
Теперь создадим папку, доступ к которой будут иметь ограниченное количество пользователей.<br />
Открываем конфигурационный файл samba:<br />
sudo nano /etc/samba/smb.conf<br />
Добавляем настройку для новой папки в конец файла, комментим строчки с принтерами (если они не нужны):<br />
[telegram]<br />
comment = Private Folder<br />
path = /var/www/telegram<br />
public = no<br />
writable = no<br />
read only = yes<br />
guest ok = no<br />
valid users = admin, telegra<br />
write list = admin, telegra<br />
create mask = 0777<br />
directory mask = 0777<br />
force create mode = 0777<br />
force directory mode = 0777<br />
inherit owner = yes<br />
* стоит обратить внимание на следующие настройки:<br />
path = /data/private — используем новый путь до папки.<br />
writable = no и read only = yes — в данном примере мы разрешим запись в каталог только некоторым пользователям. Поэтому общие настройки, разрешающие запись в папку, должны быть запрещены.<br />
valid users — список пользователей, которым разрешено подключаться к каталогу. В данном примере разрешения работают для пользователей admin, telegra, а также для всех, кто входим в группу privateusers.<br />
write list — список пользователей, которые имеют доступ к папке на чтение и запись. В данном примере мы разрешаем это только для пользователей admin и telegra.<br />
inherit owner — опция позволяем включить наследование владельца при создании папок и файлов.<br />
* если мы хотим, чтобы доступ к каталогу был полный у определенных пользователей (без разделения на тех, кто может только читать и тех, кто может также писать в папку), то опцию write list можно не указывать, а опции writable и read only оставить как в примерах выше.<br />
Создаем каталог для новой папки:<br />
sudo mkdir /var/www/telegram<br />
Задаем права на созданный каталог:<br />
sudo chmod 777 /var/www/telegram<br />
Для применения настроек перезапускаем samba:<br />
sudo systemctl restart smbd<br />
Проверяем возможность работы с новым каталогом.<br />
На сервере СЭД добавляем строку в конец файла fstab, меняя password на созданный пароль<br />
sudo nano /etc/fstab<br />
//192.168.123.103/telegram/storage/outbox /var/www/sed-citis/storage/exchange/telegram/outbox cifs user=telegra,pass=password,iocharset=utf8,noperm,uid=www-data,gid=www-data,dir_mode=0777,file_mode=0777,auto 0 0<br />
Далее монтируем<br />
sudo mount -a<br />
Если ошибка mount error(95): Operation not supported<br />
То необходимо изменить строку<br />
sudo nano /etc/fstab<br />
//192.168.123.103/telegram/storage/outbox /var/www/sed-citis/storage/exchange/telegram/outbox cifs user=telegra,pass=password,iocharset=utf8,vers=2.0,noperm,uid=www-data,gid=www-data,dir_mode=0777,file_mode=0777,auto 0 0<br />
'''Создание сертификата'''<br />
Сайт, для которого вы хотите создать SSL сертификат должен уже быть доступен без HTTPS на порту 80. Поэтому его виртуальный хост Apache должен уже быть настроен. В этом примере я буду получать сертификат для edu.citis.ru. Для примера можно создать такой виртуальный хост:<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru.conf<br />
<VirtualHost *:80><br />
ServerName edu.citis.ru<br />
ServerAlias www.edu.citis.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
RewriteEngine on<br />
RewriteCond %{SERVER_NAME} =edu.citis.ru [OR]<br />
RewriteCond %{SERVER_NAME} =www.edu.citis.ru<br />
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]<br />
</VirtualHost><br />
Выходим сохраняя изменения.<br />
Клиент Lets Encrypt называется Certbot. Он доступен в официальных репозиториях. Для установки выполните такие команды:<br />
sudo apt install certbot python-certbot-apache<br />
Если последний пакет не найдется надо ставить python3-certbot-apache<br />
Далее генерируем сертификат<br />
sudo certbot certonly --apache -d edu.citis.ru -d www.edu.citis.ru<br />
При первом запуске утилита предложит вам указать ваш Email адрес, для того чтобы отправлять вам уведомления о необходимости обновить сертификат и новости, а также попросит принять лицензионное соглашение.<br />
А потом спросит можно ли передать ваш адрес их партнёрам. Ответить No. Только после этого начнётся генерация сертификата<br />
Программа сообщает, что сертификат сохранён в папке /etc/letsencrypt/live/edu.citis.ru/ и вы можете его использовать.<br />
Если вы посмотрите в папку /etc/letsencrypt/live/edu.citis.ru, то увидите там четыре файла:<br />
<br />
cert.pem - файл сертификата, его необходимо прописать в параметре SSLCertificateFile;<br />
chain.pem - файл цепочки сертификата, обычно прописывается в параметре SSLCertificateChainFile;<br />
privkey.pem - приватный ключ сертификата, должен быть прописан в SSLCertificateKeyFile;<br />
fullchain.pem - в нём объединено содержимое cert.pem и chain.pem, можно использовать вместо этих обоих файлов.<br />
Необходимо файлы сгенерированные перенести в другую папку (до текущей папки нет доступа у апача)<br />
sudo mkdir /etc/apache/ssl<br />
sudo mv /etc/letsencrypt/live/edu.citis.ru/* /etc/apache/ssl/*<br />
Для обычного сайта у нас виртуальный хост существует. Осталось создать виртуальный хост для SSL версии. Тут кроме стандартных настроек надо добавить четыре параметра.<br />
<br />
SSLEngine on<br />
SSLCertificateFile /путь/к/сертификату.pem<br />
SSLCertificateChainFile /путь/к/сертификату/цепочки.pem<br />
SSLCertificateKeyFile /путь/к/приватному/ключу.pem<br />
<br />
Например:<br />
<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br />
<br />
<VirtualHost *:443><br />
ServerName edu.citis.ru<br />
ServerAlias www.edu.citis.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
SSLEngine on<br />
SSLCertificateFile /etc/letsencrypt/live/edu.citis.ru/cert.pem<br />
SSLCertificateChainFile /etc/letsencrypt/live/edu.citis.ru/chain.pem<br />
SSLCertificateKeyFile /etc/letsencrypt/live/edu.citis.ru/privkey.pem<br />
</VirtualHost><br />
Этой конфигурации достаточно чтобы всё заработало. Затем активируйте этот виртуальный хост:<br />
sudo a2ensite edu-citis-ru-ssl<br />
И не забудьте включить модуль для поддержки SSL:<br />
sudo a2enmod ssl<br />
Проверьте работоспособность открыв домен в браузере.<br />
Чтобы добавить больше безопасности можно указать какие протоколы SSL следует использовать. Например, для того чтобы отключить SSLv2 и SSLv3, а также TLS ниже 1.2 добавьте:<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br />
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_telegram&diff=924
Установка сервера telegram
2022-08-30T08:17:07Z
<p>A.tolmachev: </p>
<hr />
<div>'''Установка на Ubuntu 16.04.3 и выше'''<br />
Установить на сервере-шлюзе Samba<br />
sudo apt-get install samba<br />
Разрешаем автостарт сервиса:<br />
sudo systemctl enable smbd<br />
И проверим, что сервис запустился: <br />
sudo systemctl status smbd<br />
Создадим пользователя для доступа к папке<br />
sudo useradd telegra<br />
Назначим ему пароль<br />
sudo passwd telegra<br />
Дважды введем пароль<br />
Создадим пользователя в самбе<br />
sudo smbpasswd -a telegra<br />
Теперь создадим папку, доступ к которой будут иметь ограниченное количество пользователей.<br />
Открываем конфигурационный файл samba:<br />
sudo nano /etc/samba/smb.conf<br />
Добавляем настройку для новой папки в конец файла, комментим строчки с принтерами (если они не нужны):<br />
[telegram]<br />
comment = Private Folder<br />
path = /var/www/telegram<br />
public = no<br />
writable = no<br />
read only = yes<br />
guest ok = no<br />
valid users = admin, telegra<br />
write list = admin, telegra<br />
create mask = 0777<br />
directory mask = 0777<br />
force create mode = 0777<br />
force directory mode = 0777<br />
inherit owner = yes<br />
* стоит обратить внимание на следующие настройки:<br />
path = /data/private — используем новый путь до папки.<br />
writable = no и read only = yes — в данном примере мы разрешим запись в каталог только некоторым пользователям. Поэтому общие настройки, разрешающие запись в папку, должны быть запрещены.<br />
valid users — список пользователей, которым разрешено подключаться к каталогу. В данном примере разрешения работают для пользователей admin, telegra, а также для всех, кто входим в группу privateusers.<br />
write list — список пользователей, которые имеют доступ к папке на чтение и запись. В данном примере мы разрешаем это только для пользователей admin и telegra.<br />
inherit owner — опция позволяем включить наследование владельца при создании папок и файлов.<br />
* если мы хотим, чтобы доступ к каталогу был полный у определенных пользователей (без разделения на тех, кто может только читать и тех, кто может также писать в папку), то опцию write list можно не указывать, а опции writable и read only оставить как в примерах выше.<br />
Создаем каталог для новой папки:<br />
sudo mkdir /var/www/telegram<br />
Задаем права на созданный каталог:<br />
sudo chmod 777 /var/www/telegram<br />
Для применения настроек перезапускаем samba:<br />
sudo systemctl restart smbd<br />
Проверяем возможность работы с новым каталогом.<br />
На сервере СЭД добавляем строку в конец файла fstab, меняя password на созданный пароль<br />
sudo nano /etc/fstab<br />
//192.168.123.103/telegram/storage/outbox /var/www/sed-citis/storage/exchange/telegram/outbox cifs user=telegra,pass=password,iocharset=utf8,noperm,uid=www-data,gid=www-data,dir_mod$<br />
Далее монтируем<br />
sudo mount -a<br />
<br />
'''Создание сертификата'''<br />
Сайт, для которого вы хотите создать SSL сертификат должен уже быть доступен без HTTPS на порту 80. Поэтому его виртуальный хост Apache должен уже быть настроен. В этом примере я буду получать сертификат для edu.citis.ru. Для примера можно создать такой виртуальный хост:<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru.conf<br />
<VirtualHost *:80><br />
ServerName edu.citis.ru<br />
ServerAlias www.edu.citis.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
RewriteEngine on<br />
RewriteCond %{SERVER_NAME} =edu.citis.ru [OR]<br />
RewriteCond %{SERVER_NAME} =www.edu.citis.ru<br />
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]<br />
</VirtualHost><br />
Выходим сохраняя изменения.<br />
Клиент Lets Encrypt называется Certbot. Он доступен в официальных репозиториях. Для установки выполните такие команды:<br />
sudo apt install certbot python-certbot-apache<br />
Если последний пакет не найдется надо ставить python3-certbot-apache<br />
Далее генерируем сертификат<br />
sudo certbot certonly --apache -d edu.citis.ru -d www.edu.citis.ru<br />
При первом запуске утилита предложит вам указать ваш Email адрес, для того чтобы отправлять вам уведомления о необходимости обновить сертификат и новости, а также попросит принять лицензионное соглашение.<br />
А потом спросит можно ли передать ваш адрес их партнёрам. Ответить No. Только после этого начнётся генерация сертификата<br />
Программа сообщает, что сертификат сохранён в папке /etc/letsencrypt/live/edu.citis.ru/ и вы можете его использовать.<br />
Если вы посмотрите в папку /etc/letsencrypt/live/edu.citis.ru, то увидите там четыре файла:<br />
<br />
cert.pem - файл сертификата, его необходимо прописать в параметре SSLCertificateFile;<br />
chain.pem - файл цепочки сертификата, обычно прописывается в параметре SSLCertificateChainFile;<br />
privkey.pem - приватный ключ сертификата, должен быть прописан в SSLCertificateKeyFile;<br />
fullchain.pem - в нём объединено содержимое cert.pem и chain.pem, можно использовать вместо этих обоих файлов.<br />
Необходимо файлы сгенерированные перенести в другую папку (до текущей папки нет доступа у апача)<br />
sudo mkdir /etc/apache/ssl<br />
sudo mv /etc/letsencrypt/live/edu.citis.ru/* /etc/apache/ssl/*<br />
Для обычного сайта у нас виртуальный хост существует. Осталось создать виртуальный хост для SSL версии. Тут кроме стандартных настроек надо добавить четыре параметра.<br />
<br />
SSLEngine on<br />
SSLCertificateFile /путь/к/сертификату.pem<br />
SSLCertificateChainFile /путь/к/сертификату/цепочки.pem<br />
SSLCertificateKeyFile /путь/к/приватному/ключу.pem<br />
<br />
Например:<br />
<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br />
<br />
<VirtualHost *:443><br />
ServerName edu.citis.ru<br />
ServerAlias www.edu.citis.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
SSLEngine on<br />
SSLCertificateFile /etc/letsencrypt/live/edu.citis.ru/cert.pem<br />
SSLCertificateChainFile /etc/letsencrypt/live/edu.citis.ru/chain.pem<br />
SSLCertificateKeyFile /etc/letsencrypt/live/edu.citis.ru/privkey.pem<br />
</VirtualHost><br />
Этой конфигурации достаточно чтобы всё заработало. Затем активируйте этот виртуальный хост:<br />
sudo a2ensite edu-citis-ru-ssl<br />
И не забудьте включить модуль для поддержки SSL:<br />
sudo a2enmod ssl<br />
Проверьте работоспособность открыв домен в браузере.<br />
Чтобы добавить больше безопасности можно указать какие протоколы SSL следует использовать. Например, для того чтобы отключить SSLv2 и SSLv3, а также TLS ниже 1.2 добавьте:<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br />
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_telegram&diff=923
Установка сервера telegram
2022-08-30T07:43:56Z
<p>A.tolmachev: </p>
<hr />
<div>'''Установка на Ubuntu 16.04.3 и выше'''<br />
Установить на сервере-шлюзе Samba<br />
sudo apt-get install samba<br />
Разрешаем автостарт сервиса:<br />
sudo systemctl enable smbd<br />
И проверим, что сервис запустился: <br />
sudo systemctl status smbd<br />
Создадим пользователя для доступа к папке<br />
sudo useradd telegra<br />
Назначим ему пароль<br />
sudo passwd telegra<br />
Дважды введем пароль<br />
Создадим пользователя в самбе<br />
sudo smbpasswd -a telegra<br />
Теперь создадим папку, доступ к которой будут иметь ограниченное количество пользователей.<br />
Открываем конфигурационный файл samba:<br />
sudo nano /etc/samba/smb.conf<br />
Добавляем настройку для новой папки в конец файла, комментим строчки с принтерами (если они не нужны):<br />
[telegram]<br />
comment = Private Folder<br />
path = /var/www/telegram<br />
public = no<br />
writable = no<br />
read only = yes<br />
guest ok = no<br />
valid users = admin, telegra<br />
write list = admin, telegra<br />
create mask = 0777<br />
directory mask = 0777<br />
force create mode = 0777<br />
force directory mode = 0777<br />
inherit owner = yes<br />
* стоит обратить внимание на следующие настройки:<br />
path = /data/private — используем новый путь до папки.<br />
writable = no и read only = yes — в данном примере мы разрешим запись в каталог только некоторым пользователям. Поэтому общие настройки, разрешающие запись в папку, должны быть запрещены.<br />
valid users — список пользователей, которым разрешено подключаться к каталогу. В данном примере разрешения работают для пользователей admin, telegra, а также для всех, кто входим в группу privateusers.<br />
write list — список пользователей, которые имеют доступ к папке на чтение и запись. В данном примере мы разрешаем это только для пользователей admin и telegra.<br />
inherit owner — опция позволяем включить наследование владельца при создании папок и файлов.<br />
* если мы хотим, чтобы доступ к каталогу был полный у определенных пользователей (без разделения на тех, кто может только читать и тех, кто может также писать в папку), то опцию write list можно не указывать, а опции writable и read only оставить как в примерах выше.<br />
Создаем каталог для новой папки:<br />
sudo mkdir /var/www/telegram<br />
Задаем права на созданный каталог:<br />
sudo chmod 777 /var/www/telegram<br />
Для применения настроек перезапускаем samba:<br />
sudo systemctl restart smbd<br />
Проверяем возможность работы с новым каталогом.<br />
<br />
'''Создание сертификата'''<br />
Сайт, для которого вы хотите создать SSL сертификат должен уже быть доступен без HTTPS на порту 80. Поэтому его виртуальный хост Apache должен уже быть настроен. В этом примере я буду получать сертификат для edu.citis.ru. Для примера можно создать такой виртуальный хост:<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru.conf<br />
<VirtualHost *:80><br />
ServerName edu.citis.ru<br />
ServerAlias www.edu.citis.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
RewriteEngine on<br />
RewriteCond %{SERVER_NAME} =edu.citis.ru [OR]<br />
RewriteCond %{SERVER_NAME} =www.edu.citis.ru<br />
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]<br />
</VirtualHost><br />
Выходим сохраняя изменения.<br />
Клиент Lets Encrypt называется Certbot. Он доступен в официальных репозиториях. Для установки выполните такие команды:<br />
sudo apt install certbot python-certbot-apache<br />
Если последний пакет не найдется надо ставить python3-certbot-apache<br />
Далее генерируем сертификат<br />
sudo certbot certonly --apache -d edu.citis.ru -d www.edu.citis.ru<br />
При первом запуске утилита предложит вам указать ваш Email адрес, для того чтобы отправлять вам уведомления о необходимости обновить сертификат и новости, а также попросит принять лицензионное соглашение.<br />
А потом спросит можно ли передать ваш адрес их партнёрам. Ответить No. Только после этого начнётся генерация сертификата<br />
Программа сообщает, что сертификат сохранён в папке /etc/letsencrypt/live/edu.citis.ru/ и вы можете его использовать.<br />
Если вы посмотрите в папку /etc/letsencrypt/live/edu.citis.ru, то увидите там четыре файла:<br />
<br />
cert.pem - файл сертификата, его необходимо прописать в параметре SSLCertificateFile;<br />
chain.pem - файл цепочки сертификата, обычно прописывается в параметре SSLCertificateChainFile;<br />
privkey.pem - приватный ключ сертификата, должен быть прописан в SSLCertificateKeyFile;<br />
fullchain.pem - в нём объединено содержимое cert.pem и chain.pem, можно использовать вместо этих обоих файлов.<br />
Необходимо файлы сгенерированные перенести в другую папку (до текущей папки нет доступа у апача)<br />
sudo mkdir /etc/apache/ssl<br />
sudo mv /etc/letsencrypt/live/edu.citis.ru/* /etc/apache/ssl/*<br />
Для обычного сайта у нас виртуальный хост существует. Осталось создать виртуальный хост для SSL версии. Тут кроме стандартных настроек надо добавить четыре параметра.<br />
<br />
SSLEngine on<br />
SSLCertificateFile /путь/к/сертификату.pem<br />
SSLCertificateChainFile /путь/к/сертификату/цепочки.pem<br />
SSLCertificateKeyFile /путь/к/приватному/ключу.pem<br />
<br />
Например:<br />
<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br />
<br />
<VirtualHost *:443><br />
ServerName edu.citis.ru<br />
ServerAlias www.edu.citis.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
SSLEngine on<br />
SSLCertificateFile /etc/letsencrypt/live/edu.citis.ru/cert.pem<br />
SSLCertificateChainFile /etc/letsencrypt/live/edu.citis.ru/chain.pem<br />
SSLCertificateKeyFile /etc/letsencrypt/live/edu.citis.ru/privkey.pem<br />
</VirtualHost><br />
Этой конфигурации достаточно чтобы всё заработало. Затем активируйте этот виртуальный хост:<br />
sudo a2ensite edu-citis-ru-ssl<br />
И не забудьте включить модуль для поддержки SSL:<br />
sudo a2enmod ssl<br />
Проверьте работоспособность открыв домен в браузере.<br />
Чтобы добавить больше безопасности можно указать какие протоколы SSL следует использовать. Например, для того чтобы отключить SSLv2 и SSLv3, а также TLS ниже 1.2 добавьте:<br />
sudo nano /etc/apache2/sites-available/edu-citis-ru-ssl.conf<br />
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_telegram&diff=922
Установка сервера telegram
2022-08-30T06:11:18Z
<p>A.tolmachev: </p>
<hr />
<div>Установка на Ubuntu 16.04.3 и выше<br />
Установить на сервере-шлюзе Samba<br />
sudo apt-get install samba<br />
Разрешаем автостарт сервиса:<br />
systemctl enable smbd<br />
И проверим, что сервис запустился: <br />
systemctl status smbd<br />
Создадим пользователя для доступа к папке<br />
sudo useradd telegra<br />
Назначим ему пароль<br />
sudo passwd telegra<br />
Дважды введем пароль<br />
Создадим пользователя в самбе<br />
sudo smbpasswd -a telegra<br />
Теперь создадим папку, доступ к которой будут иметь ограниченное количество пользователей.<br />
<br />
Открываем конфигурационный файл samba:<br />
<br />
vi /etc/samba/smb.conf<br />
Добавляем настройку для новой папки:<br />
<br />
[telegram]<br />
comment = Private Folder<br />
path = /data/private<br />
public = no<br />
writable = no<br />
read only = yes<br />
guest ok = no<br />
valid users = admin, telegra, @privateusers<br />
write list = admin, telegra<br />
create mask = 0777<br />
directory mask = 0777<br />
force create mode = 0777<br />
force directory mode = 0777<br />
inherit owner = yes<br />
* стоит обратить внимание на следующие настройки:<br />
path = /data/private — используем новый путь до папки.<br />
writable = no и read only = yes — в данном примере мы разрешим запись в каталог только некоторым пользователям. Поэтому общие настройки, разрешающие запись в папку, должны быть запрещены.<br />
valid users — список пользователей, которым разрешено подключаться к каталогу. В данном примере разрешения работают для пользователей admin, telegra, а также для всех, кто входим в группу privateusers.<br />
write list — список пользователей, которые имеют доступ к папке на чтение и запись. В данном примере мы разрешаем это только для пользователей admin и telegra.<br />
inherit owner — опция позволяем включить наследование владельца при создании папок и файлов.<br />
* если мы хотим, чтобы доступ к каталогу был полный у определенных пользователей (без разделения на тех, кто может только читать и тех, кто может также писать в папку), то опцию write list можно не указывать, а опции writable и read only оставить как в примерах выше.<br />
Создаем каталог для новой папки:<br />
<br />
mkdir /data/private<br />
Задаем права на созданный каталог:<br />
<br />
chmod 777 /data/private<br />
Для применения настроек перезапускаем samba:<br />
<br />
systemctl restart smbd<br />
Создать группу пользователей можно командой:<br />
<br />
groupadd privateusers<br />
Добавить ранее созданного пользователя в эту группу:<br />
<br />
usermod -a -G privateusers staff1<br />
Проверяем возможность работы с новым каталогом.<br />
Создание сертификата<br />
Сайт, для которого вы хотите создать SSL сертификат должен уже быть доступен без HTTPS на порту 80. Поэтому его виртуальный хост Apache должен уже быть настроен. В этом примере я буду получать сертификат для vps.losst.ru. Для примера можно создать такой виртуальный хост:<br />
<br />
sudo nano /etc/apache2/sites-available/vps-losst-ru.conf<br />
<br />
<VirtualHost *:80><br />
ServerName vps.losst.ru<br />
ServerAlias www.vps.losst.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/vps.losst.ru/public_html<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
RewriteEngine on<br />
RewriteCond %{SERVER_NAME} =vps.losst.ru [OR]<br />
RewriteCond %{SERVER_NAME} =www.vps.losst.ru<br />
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]<br />
</VirtualHost><br />
Клиент Lets Encrypt называется Certbot. Он доступен в официальных репозиториях. Для установки выполните такие команды:<br />
<br />
sudo apt install certbot python-certbot-apache<br />
Если последний пакет не найдется надо ставить python3-certbot-apache<br />
Далее генерим сертификат<br />
sudo certbot certonly --apache -d vps.losst.ru -d www.vps.losst.ru<br />
При первом запуске утилита предложит вам указать ваш Email адрес, для того чтобы отправлять вам уведомления о необходимости обновить сертификат и новости, а также попросит принять лицензионное соглашение.<br />
А потом спросит можно ли передать ваш адрес их партнёрам. Ответить No. Только после этого начнётся генерация сертификата<br />
Программа сообщает, что сертификат сохранён в папке /etc/letsencrypt/live/vps.losst.ru/ и вы можете его использовать.<br />
Если вы посмотрите в папку /etc/letsencrypt/live/vps.losst.ru, то увидите там четыре файла:<br />
<br />
cert.pem - файл сертификата, его необходимо прописать в параметре SSLCertificateFile;<br />
chain.pem - файл цепочки сертификата, обычно прописывается в параметре SSLCertificateChainFile;<br />
privkey.pem - приватный ключ сертификата, должен быть прописан в SSLCertificateKeyFile;<br />
fullchain.pem - в нём объединено содержимое cert.pem и chain.pem, можно использовать вместо этих обоих файлов.<br />
Для обычного сайта у нас виртуальный хост существует. Осталось создать виртуальный хост для SSL версии. Тут кроме стандартных настроек надо добавить четіре параметра.<br />
<br />
SSLEngine on<br />
SSLCertificateFile /путь/к/сертификату.pem<br />
SSLCertificateChainFile /путь/к/сертификату/цепочки.pem<br />
SSLCertificateKeyFile /путь/к/приватному/ключу.pem<br />
<br />
Например:<br />
<br />
sudo vi /etc/apache2/sites-available/vps-losst-ru-ssl.conf<br />
<br />
<VirtualHost *:443><br />
ServerName vps.losst.ru<br />
ServerAlias www.vps.losst.ru<br />
ServerAdmin webmaster@localhost<br />
DocumentRoot /var/www/vps.losst.ru/public_html<br />
ErrorLog ${APACHE_LOG_DIR}/error.log<br />
CustomLog ${APACHE_LOG_DIR}/access.log combined<br />
SSLEngine on<br />
SSLCertificateFile /etc/letsencrypt/live/vps.losst.ru/cert.pem<br />
SSLCertificateChainFile /etc/letsencrypt/live/vps.losst.ru/chain.pem<br />
SSLCertificateKeyFile /etc/letsencrypt/live/vps.losst.ru/privkey.pem<br />
</VirtualHost><br />
<br />
Этой конфигурации достаточно чтобы всё заработало. Затем активируйте этот виртуальный хост:<br />
<br />
sudo a2ensite vps-losst-ru-ssl<br />
<br />
И не забудьте включить модуль для поддержки SSL:<br />
<br />
sudo a2enmod ssl<br />
<br />
Проверьте работоспособность открыв домен в браузере.<br />
Чтобы добавить больше безопасности можно указать какие протоколы SSL следует использовать. Например, для того чтобы отключить SSLv2 и SSLv3, а также TLS ниже 1.2 добавьте:<br />
<br />
sudo vi /etc/apache2/sites-available/vps-losst-ru-ssl.conf<br />
<br />
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1</div>
A.tolmachev
http://edu.citis.ru/userguide/index.php?title=%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_telegram&diff=921
Установка сервера telegram
2022-08-30T04:54:09Z
<p>A.tolmachev: Новая страница: «Установка на Ubuntu 16.04.3 и выше Установить на сервере-шлюзе Samba sudo apt-get install samba Разрешаем авт…»</p>
<hr />
<div>Установка на Ubuntu 16.04.3 и выше<br />
Установить на сервере-шлюзе Samba<br />
sudo apt-get install samba<br />
Разрешаем автостарт сервиса:<br />
systemctl enable smbd<br />
И проверим, что сервис запустился: <br />
systemctl status smbd<br />
Создадим пользователя для доступа к папке<br />
sudo useradd telegra<br />
Назначим ему пароль<br />
sudo passwd telegra<br />
Дважды введем пароль<br />
Создадим пользователя в самбе<br />
sudo smbpasswd -a telegra<br />
Теперь создадим папку, доступ к которой будут иметь ограниченное количество пользователей.<br />
<br />
Открываем конфигурационный файл samba:<br />
<br />
vi /etc/samba/smb.conf<br />
Добавляем настройку для новой папки:<br />
<br />
[telegram]<br />
comment = Private Folder<br />
path = /data/private<br />
public = no<br />
writable = no<br />
read only = yes<br />
guest ok = no<br />
valid users = admin, telegra, @privateusers<br />
write list = admin, telegra<br />
create mask = 0777<br />
directory mask = 0777<br />
force create mode = 0777<br />
force directory mode = 0777<br />
inherit owner = yes<br />
* стоит обратить внимание на следующие настройки:<br />
path = /data/private — используем новый путь до папки.<br />
writable = no и read only = yes — в данном примере мы разрешим запись в каталог только некоторым пользователям. Поэтому общие настройки, разрешающие запись в папку, должны быть запрещены.<br />
valid users — список пользователей, которым разрешено подключаться к каталогу. В данном примере разрешения работают для пользователей admin, telegra, а также для всех, кто входим в группу privateusers.<br />
write list — список пользователей, которые имеют доступ к папке на чтение и запись. В данном примере мы разрешаем это только для пользователей admin и telegra.<br />
inherit owner — опция позволяем включить наследование владельца при создании папок и файлов.<br />
* если мы хотим, чтобы доступ к каталогу был полный у определенных пользователей (без разделения на тех, кто может только читать и тех, кто может также писать в папку), то опцию write list можно не указывать, а опции writable и read only оставить как в примерах выше.<br />
Создаем каталог для новой папки:<br />
<br />
mkdir /data/private<br />
Задаем права на созданный каталог:<br />
<br />
chmod 777 /data/private<br />
Для применения настроек перезапускаем samba:<br />
<br />
systemctl restart smbd<br />
Создать группу пользователей можно командой:<br />
<br />
groupadd privateusers<br />
Добавить ранее созданного пользователя в эту группу:<br />
<br />
usermod -a -G privateusers staff1<br />
Проверяем возможность работы с новым каталогом.</div>
A.tolmachev