服务配置
通过编辑各种配置文件来配置服务,如下所述。阅读本章并根据需要配置设置。
编辑各种配置文件后,必须通过执行 sudo ncc services restart
命令重新启动所有服务,以便应用新配置。
相关配置文件摘要:
/etc/apache2/sites-available/netrounds-ssl.conf
/etc/apache2/sites-available/netrounds.conf
/etc/environment
/etc/netrounds/consolidated.yaml
/etc/netrounds/metrics.yaml
/etc/netrounds/netrounds.conf
/etc/netrounds/plugin.yaml
/etc/netrounds/probe-connect.conf
/etc/netrounds/restol.conf
/etc/netrounds/test-agent-gateway.yaml
/etc/netrounds/timescaledb.conf
/etc/openvpn/netrounds.conf
主设置文件
/etc/netrounds/netrounds.conf
此文件包含所有受支持设置的内联文档和示例。该 SITE_URL
设置始终 需要修改 才能获得指向“控制中心”的正确 URL,例如在电子邮件和报告中。
此文件中的设置摘要:
- 用于加密操作的唯一机密字符串
- 控制中心 Web 服务器 URL
- 用户时区;默认值为 UTC
- 传出电子邮件中的发件人姓名
- 向用户显示的联系电子邮件地址
- 发送电子邮件的设置(后端、主机等)
- 日志记录配置(有关详细信息,请参阅 日志记录部分)
- 日志标签的最大长度
- 测试代理软件自动更新的标准
- 时序数据的存储位置
- 用于对测试代理进行身份验证的 OpenVPN 证书和密钥的存储位置
- 后台任务队列中可以并行处理的任务数
SSL 证书配置
/etc/apache2/sites-available/netrounds-ssl.conf
此 Apache 配置文件包含以下 SSL 证书设置,默认值如下所示:
SSLCertificateFile "/etc/ssl/certs/ssl-cert-snakeoil.pem" SSLCertificateKeyFile "/etc/ssl/private/ssl-cert-snakeoil.key"
有关此主题的详尽信息,请参阅 Apache 文档。
/etc/netrounds/test-agent-gateway.yaml
此配置文件包含测试代理应用程序网关的 SSL 证书设置,测试代理应用程序使用该网关连接到控制中心。
# Test Agent Application config file # Please run the command below to see available settings: # /usr/bin/test-agent-gateway-service --help # SSL certificates used by the web server. Defaults to snakeoil. ssl-cert: /etc/ssl/certs/ssl-cert-snakeoil.pem ssl-key: /etc/ssl/private/ssl-cert-snakeoil.key
默认情况下,在所有情况下都使用蛇油SSL证书,如上面的代码片段所示。这些是从预装在 Ubuntu 中的软件包创建的 ssl-cert
。但是,为了确保在生产环境中建立加密和安全的连接,强烈建议您获取适当的签名 SSL 证书。
阿帕奇
/etc/apache2/sites-available/netrounds-ssl.conf
/etc/apache2/sites-available/netrounds.conf
这些文件包含 Apache 设置。
有关此主题的详尽信息,请参阅 Apache 文档。
强烈建议不要更改 Apache 配置文件,除非您完全了解后果。不适当的更改可能会破坏 Paragon Active Assurance 功能。
时间刻度数据库配置
如何在 TimescaleDB 中查询指标一文中介绍了如何配置 TimescaleDB。
插件服务数据库配置
插件服务数据库在
/etc/netrounds/plugin.yaml
OpenVPN 密钥的配置
OpenVPN 密钥的位置在
/etc/openvpn/netrounds.conf
重新启动 OpenVPN 以使任何更改生效。
HSTS 配置
/etc/netrounds/netrounds.conf
HTTP 严格传输安全 (HSTS) 是一种 Web 安全策略机制,有助于保护网站免受协议降级攻击和 cookie 劫持。它允许 Web 服务器声明 Web 浏览器(或其他合规用户代理)应仅使用安全的 HTTPS 连接与其交互,而绝不应通过不安全的 HTTP 协议进行交互。
服务器通过 HTTPS 连接提供标头(严格传输安全性)来实现 HSTS 策略。标头期限设置为一小时。
默认情况下,HSTS 在 Paragon Active Assurance 中处于禁用状态,因为 Speedtest 页面出于性能原因使用 HTTP。如果您不使用速度测试,请取消注释以下行以启用 HSTS。
# STRICT_TRANSPORT_SECURITY_HEADER = "max-age=3600; includeSubDomains"
允许在控制中心启用 HSTS 的另一种方法是在单独的 Web 服务器上托管 Speedtest,如文档 创建自定义 Speedtest 网页中所述。
配置 REST API 令牌的生存期
REST API 令牌的生存期有限,默认为 10 年。这由文件中/etc/netrounds/netrounds.conf
的参数REST_TOKEN_LIFETIME
控制。
如果您打算使用 REST API,则可能需要将此参数的值更改为您的情况所需的任何值。
对于升级,您需要在运行 ncc migrate
命令之前为现有令牌设置所需的生存期值。
限制 REST API 速率
可以在文件中应用 REST API 速率限制
-
/etc/netrounds/restol.conf
- 这些设置
RATE_LIMIT_ENABLED
和RATE_LIMIT_DEFAULT
用于限制 REST API 请求。要启用限制,请设置RATE_LIMIT_ENABLED=True
。 - 然后配置该
RATE_LIMIT_DEFAULT
设置以指示来自同一 IP 地址的 API 请求的最大频率。例如,RATE_LIMIT_DEFAULT=30/second
每秒最多允许来自每个 IP 地址的 30 个请求。速率限制可以设置为每秒、分钟、小时或天。也可以设置多个限制,如 中RATE_LIMIT_DEFAULT=30/second,60/minute
所示。 - 要禁用限制,请设置
RATE_LIMIT_ENABLED=False
。
- 这些设置
配置密码强度
控制中心用户密码 的默认 密码强度要求如下: 每个密码必须包含
- 总共至少 8 个字符
- 至少一位数字
- 至少一个大写字母
- 至少一个小写字母。
可以切换到一组 更严格的 要求。根据这些,每个密码必须包含
- 总共至少 12 个字符
- 至少一位数字
- 至少一个大写字母
- 至少一个小写字母
- 至少一个特殊字符
并且也不得有任何字符连续出现两次。
若要强制实施更严格的要求,请在文件中 /etc/netrounds/netrounds.conf
进行以下设置:
USER_PASSWORD_STRENGTH='strong'
(您需要添加变量 USER_PASSWORD_STRENGTH
本身,因为默认情况下它在配置文件中不存在。此设置全局应用于在“控制中心”中创建的所有新用户。