Документация

• Техническая спецификация
• Установка Senhasegura
• Развертывание Senhasegura
• Активация пробной версии
• Включение модулей
• Смена стандартных паролей
• Настройка сетевого экрана (Firewall)
• Настройка резервного копирования
• Обновление версии
• Контакты технической поддержки

Техническая спецификация

Senhasegura — платформа по обеспечению информационной безопасности, состоящая из программного обеспечения, операционной системы и оборудования. Данная модульная платформа соответствует самым строгим стандартам безопасности в отрасли.

В этом документе мы рассмотрим основные технические аспекты Senhasegura.

Архитектура системных модулей

Программное решение Senhasegura разделено на следующие модули:

Эти компоненты поддерживают работу Senhasegura от физического уровня до уровня приложения.

• Business layer: здесь расположены все функции Senhasegura, от интеграции до записи активности.
• Application Server layer: здесь находится Orbit, MT4 разработала платформу для поддержки всех функций решения.
• Virtual Appliance: виртуальное устройство, на котором выполняется решение.
• Appliance layer: аппаратное решение Senhasegura.

Компоненты решения

В дополнение к представленным модулям решение имеет важные встроенные программные компоненты, интегрированные в него без необходимости использования внешних ресурсов:

1. Оптимизированная и усиленная по всем аспектам (приложение, база данных, файловая система и т. д.) операционная система на базе Linux. В системе запущено только минимальное количество служб, соответствующих принципу минимальных привилегий, и ядро, адаптированное к функциональности решения.

2. Собственная база данных; без необходимости докупать лицензию.

3. Собственный интегрированный веб-сервер.

4. Встроенный веб-интерфейс, без необходимости приобретения дополнительных лицензий или функций для использования. Имея всего один интерфейс настройки сети, у вас уже есть возможность получить доступ к HTTPS веб-интерфейсу, чтобы все остальные настройки можно было выполнять в безопасной и удобной графической среде.

Порты

Протокол/Порт	Функция
TCP/22	Сервер SSH
TCP/80	Веб-сервер с перенаправлением на порт 443
TCP/443	Сервер веб-приложений
UDP/161	SNMP
UDP/162	SNMP
TCP/3389	RDP прокси
TCP/3306	Кластер базы данных
TCP/4444	Кластер базы данных
TCP/4567	Кластер базы данных
TCP/4568	Кластер базы данных
UDP/4567	Кластер базы данных

Языки

Интерфейс решения доступен на следующих языках:

    1. Бразильский португальский (PT-BR)
    2. Американский английский (EN-US)
    3. Немецкий (DE)
    4. Испанский (ES)
    5. Польский (PL)
    6. Французский (FR)
    7. Русский (RU)

Решение позволяет пользователю вводить и хранить данные с использованием кодировки UTF-8:

    1. Арабский
    2. Арабский расширенный-A
    3. Арабский расширенный -B
    4. Арабские математические алфавитные символы 
    5. Формы представления на арабском языке-A
    6. Формы представления на арабском языке-B
    7. Дополнение к арабскому языку 
    8. Базовая латиница 
    9. Расширенное бопомофо 
    10. Совместимость с CJK
    11. Штрихи CJK 
    12. CJK символы и пунктуация 
    13. Унифицированные иероглифы CJK
    14. Унифицированные иероглифы CJK
    15. Расширение B унифицированных иероглифов CJK 
    16. Расширение С унифицированных иероглифов CJK 
    17. Расширение D унифицированных иероглифов CJK 
    18. Расширение E унифицированных иероглифов CJK 
    19. Расширение F унифицированных иероглифов CJK 
    20. Кириллица
    21. Дополнение к кириллице 
    22. Приложенные письма CJK A 
    23. Французский
    24. Совместимость с хангыль J
    25. Иврит
    26. Хирагана
    27. Канбун
    28. Катакана
    29. Фонетические расширения катаканы
    30. Расширенная латиница-A 
    31. Дополнение к латинице-1
    32. Сирийский
    33. Дополнение к сирийскому 
    34. Русский
    35. Символ гексаграммы Ицзин 

Поддерживаемые языки

Русский:
    • Поддержка ввода и сохранения на целевом языке в веб-интерфейсе.
    • Поддержка ввода и сохранения на целевом языке в интерфейсе RDP прокси-сервера.
    • Поддержка ввода и сохранения на целевом языке в интерфейсе прокси Терминала. 
    • Поддержка индексации текста сессий (OCR).
    • Раскладка клавиатуры.
    • Перевод веб-интерфейса 
    • Перевод прокси-системы Терминала.
    • Перевод системы веб-прокси.

Испанский:
    • Поддержка ввода и сохранения на целевом языке в веб-интерфейсе.
    • Поддержка ввода и сохранения на целевом языке в интерфейсе RDP прокси-сервера.
    • Поддержка ввода и сохранения на целевом языке в интерфейсе прокси Терминала.
    • Поддержка индексации текста сессий (OCR).
    • Раскладка клавиатуры.
    • Перевод веб-интерфейса.
    • Перевод прокси-системы Терминала.
    • Перевод системы веб-прокси.

Руководства пользователя

Решение предоставляет руководства пользователя на следующих языках:

    1. Бразильский португальский (PT-BR)
    2. Американский английский (EN-US)

ISO 27001, PCI, SOX, GDPR, PQO BM&F

Senhasegura позволяет организациям развертывать самые строгие и сложные средства управления привилегированным доступом к учетным данным, требуемые такими стандартами, как ISO 27001, PCI, SOX, GDPR и PQO. Это возможно благодаря автоматизации управления привилегированным доступом, защищая ИТ-парк от утечек данных и потенциальных нарушений соответствия.

Повышение безопасности 

Повышение безопасности уменьшает вероятность атаки на систему за счет смены паролей по умолчанию, удаления ненужного программного обеспечения, удаления неиспользуемых пользователей или логинов, а также отключения или удаления ненужных служб.

Для снижения числа попыток атак Senhasegura использует ряд процессов защиты, признанных рынком безопасности, на разных уровнях приложения и его компонентов.

Среди других моделей Senhasegura использует процессы защиты, рекомендуемые NIST (Национальным институтом стандартов и технологий) и CIS (Центром безопасного интернета).

Процесс повышения безопасности пересматривается с каждым новым выпуском решения, чтобы он всегда соответствовал лучшим практикам и основным процессам безопасности, принятым на рынке.

Обновление компонентов

Группа исследований и разработки Senhasegura следит за обновлениями сторонних компонентов, из которых состоит решение. Обновление этих компонентов осуществляется через быстрый канал связи и проводится для клиентов, если появляется критический запрос.

Процесс обновления инструмента соответствует политике обновления клиента. В этом случае будет развернута команда для выполнения процесса установки с наименьшим риском влияния на бизнес заказчика.

Функциональные возможности по модулям

Senhasegura не позволяет устанавливать стороннее программное обеспечение.

Base Module – System access settings

Этот модуль имеет следующие функции:

    • senhasegura Authentication: Senhasegura имеет свой модуль аутентификации с функциональностью, которая подразумевает блокировку пользователя после определенного количества неудачных попыток входа в систему. А также смену пароля при первом входе, проверку сложности нового созданного пароля со сравнением истории использованных паролей.
    • User Registration: полная регистрация пользователей с отслеживанием изменений и конфигураций.
    • Profile Management: расширенное детальное управление профилями с возможностью создания профиля для каждого пользователя.
    • Screen's Log: журнал просмотра экрана системы.
    • Screen Identification by codes: идентификация каждого системного экрана с помощью уникального кода, что делает доступными обслуживание и поддержку.
    • External Authentication Servers: помимо модуля аутентификации, Senhasegura можно использовать в сочетании с другими службами каталогов. Вы можете настроить Senhasegura для выполнения аутентификации на нескольких серверах, включая установление порядка аутентификации. Центральными серверами аутентификации, которые интегрируются с Senhasegura, являются Active Directory, LDAP, TACACS и RADIUS.
    • Two-Factor Authentication: вы можете усилить процесс аутентификации с помощью многофакторной аутентификации, например, используя приложение Google Authenticator.
    • IP Access Blocking: Senhasegura может блокировать доступ через заранее созданный черный список IP-адресов. 
    • Session Management: в этом инструменте модуль управления сессиями отвечает за проверку достоверности сессии и установку времени ожидания до следующего входа в систему.
    • Authentication with A1 and A3 Certificates: процесс аутентификации может осуществляться с использованием сертификатов A1 и A3 в качестве второго фактора аутентификации.

Base Module – Password and information vault

Этот модуль является основой хранилища паролей и выполняет следующие функции:

Password Guard: хранение паролей в хранилище, зашифрованном по алгоритму AES 256 с двойным коэффициентом шифрования. Доступ к паролям в этом модуле возможен только через модуль Access Management.
Protected Information Guard: хранилище паролей обеспечивает зашифрованное хранение информации, такой как токены, сертификаты и файлы.
Backup of Secrets: пароли, защищенная информация и ключи SSH требуют независимого модуля резервного копирования в решении.
Хранилище информации и пароли отвечают за запись секретов в резервную копию, зашифрованную с помощью главного ключа хранилища на основе алгоритма Шамира.

HSM Integration: интеграция с внешними или внутренними аппаратными модулями безопасности.

Base Module – Equipment register

Этот модуль представляет собой интерфейс паролей Senhasegura с оборудованием, пароли которого находятся под управлением. Модуль включает следующие функции:
    • Registration Interface: регистрация оборудования. Индивидуально через веб-экран, либо в процессе регистрации всей партии оборудования.
    • Connector Management: каждое устройство имеет порты для подключения и протокол доступа. Этот модуль управляет настроенными соединениями и взаимодействует с устройствами.
    • Connectivity Test: Senhasegura периодически будет подключаться к зарегистрированным устройствам и проверять их подключение. Пользователи могут быть проинформированы о результатах данного тестирования.
    • Equipment Profile: типы и модели оборудования имеют профили подкачки по умолчанию и шаблоны паролей в инструменте. Этот модуль связывает устройства с этими политиками.

Base Module – Access to information, passwords, and session policies

Модуль политики доступа является единственным, имеющим доступ к хранилищу паролей и информации. В нем представлены следующие функции:    

Access Workflow: рабочий процесс доступа инициирует процесс согласования для доставки аутентифицированной сессии или пароля. Этот процесс имеет разные настройки и маршруты в зависимости от конфигурации клиента.
Access Approvation: функция подтверждения доступа позволяет утверждающему пользователю ответить на запрос доступа с помощью:
Экрана пользователя Электронной почты
SMS
Функции аварийного доступа

Password Split: эта функция отвечает за разделение пароля на две части для сегментированной доставки и соответствует требованиям стандарта PCI.
Access Control: модуль управления доступом объединяет три объекта, учитываемых при принятии решения об отказе от учетных данных или доступа:
Delivery Policy Involved Users Related Equipment

Объединение этих объектов определяет критерии доставки сессий в системе.

User Timing: модуль контроля доступа может быть синхронизирован с сервером аутентификации. Пользователи определенной группы на сервере аутентификации загружаются в группы доступа Senhasegura, что упрощает управление доступом.

Base Module – Reports

        ◦ Reporting Configuration: пользователь может удалить или добавить информацию в тот или иной отчет через интерфейс. Вы можете создать совершенно новый способ визуализации полезной информации для ваших нужд.
        ◦ Shipping Schedule: созданные отчеты могут быть настроены на автоматическую отправку определенным пользователям.
        ◦ PCI Reports: набор специальных отчетов, отвечающих требованиям аудита стандарта PCI.
        ◦ Audit Trails: Senhasegura содержит отчеты со всеми соответствующими системными событиями. События можно экспортировать в SIEM и Syslog.

Base Module - Dashboards

System Health: функция отвечает за графическое отображение обзора оборудования и виртуальных машин Senhasegura. Здесь вы можете просматривать данные, такие как ввод-вывод, память и обработка.
Process Monitoring: отслеживает выполнение важных процессов хранилища:

Password Changes
Access Group Synchronisms Password Reconciliation Connectivity Tests
Settings Backup Password's backup

Business Monitoring: отслеживает работоспособность для защиты учетных данных и информации:

    • Number of Passwords changed x Failures
    • By period
    • Number of Sessions:
    • Active and Concurrent x System Average 
    • Recorded (by period)
    • Average session time logged in
    • Users logged in to the system

Password Change Module

SSH Password Change: устанавливает соединение и запускает сценарий обмена паролем по умолчанию на устройстве, используя протокол SSH, без необходимости установки агентов.
Windows Server: Windows Password Exchange подключается к серверу Windows и запускает локальные сценарии обмена паролями без установки агентов.
Используя собственные протоколы Microsoft (RPC, RM/WMI), Senhasegura может взаимодействовать с устройством с помощью команд из этих протоколов или через команды PowerShell, если включена его поддержка.

Network Asset: установка соединения и запуск сценария обмена паролем по умолчанию на устройстве по протоколу SSH без необходимости установки агентов.
Desktop: установка соединения и выполнение сценария обмена по умолчанию для этого пароля на этом рабочем столе, используя различные протоколы на рабочем столе.
Database: установка соединения и выполнение сценария обмена по умолчанию для этого пароля в этой базе данных, используя базовый протокол.

Password Reconciliation Module

Сверка паролей происходит одинаково на серверах, сетевых ресурсах, компьютерах и банках: периодически выполняется доступ к устройствам и учетным записям, пытаясь аутентифицироваться с использованием последнего сохраненного пароля, проверяя, остается ли хранение под безопасным паролем.

Management Module - Windows sessions

Session Delivery: доставка аутентифицированной сессии выполняется без ввода имени пользователя или пароля.
Session Recording: во время доступа к аутентифицированной сессии система выполняет ее запись в виде видео и текста.
MP4 Video Generation: записанное видео может быть сгенерировано в формате mp4 для скачивания и загрузки.
Audited Proxy Support: встроенная проверенная поддержка прокси-сервера для подключения клиентских приложений по SSH и RDP. Для совместимости между производителями все прокси-модули используют современные алгоритмы шифрования и собственные протоколы.

Management Module – Сессии Linux 

Linux Web Session Delivery: доставка аутентифицированной сессии без ввода имени пользователя или пароля.
Web Session Recording: во время доступа к аутентифицированной сессии система выполняет ее запись в виде видео и текста.
MP4 Video Generation: записанное видео может быть сгенерировано в формате mp4 для скачивания и загрузки.
Audited Proxy Support: встроенная проверенная поддержка прокси-сервера для подключения клиентских приложений по SSH и RDP. Для совместимости между производителями все прокси-модули используют современные алгоритмы шифрования и собственные протоколы.

Management Module - SSH Gate Sessions - Senhasegura Terminal Proxy

        ◦ Linux Session Delivery via SSH Gate: доставка аутентифицированной сессии без ввода имени пользователя или пароля. Этот процесс прозрачен для пользователя через любой SSH-клиент. 
        ◦ Web Session Recording: во время доступа к аутентифицированной сессии система выполняет ее запись в виде видео и текста.
        ◦ Command Audit: все команды, отправляемые на сервер через Senhasegura, проверяются и генерируются предупреждения о выполнении команд.
        ◦ Privilege Control: детальный контроль команд, которые могут быть выполнены с возможностью блокировки не авторизованных для пользователя команд.
        ◦ Audited Proxy Support: встроенная проверенная поддержка прокси-сервера для подключения клиентских приложений по SSH и RDP. Для совместимости между производителями все прокси-модули используют современные алгоритмы шифрования и собственные протоколы.

Management Module - HTTP Sessions

    • HTTP and HTTPS Session Delivery: доставка аутентифицированной сессии на страницу без необходимости ввода имени пользователя или пароля.
    • Web Session Recording: во время доступа к аутентифицированной сессии система записывает видео.
    • MP4 Video Generation: записанное видео может быть сгенерировано в формате mp4 для скачивания и загрузки.

Discovery Module
        ◦ Windows Passwords: обнаружение учетных данных администратора на серверах и рабочих столах платформы Microsoft. Возможность определять, какие из них являются привилегированными, и импортировать их в хранилище.
        ◦ Linux / Unix / AIX Passwords: обнаружение учетных данных администратора на серверах и рабочих столах Linux/Unix/Aix. Возможность определять, какие из них являются привилегированными, и импортировать их в хранилище.
        ◦ AD Passwords: обнаружение учетных данных администратора на сервере Active Directory платформы Microsoft. Возможность определять, какие из них являются привилегированными, и импортировать в хранилище.
        ◦ SQL / Oracle Passwords: обнаружение учетных данных администратора в базах данных. Возможность определять, какие из них являются привилегированными, и импортировать в хранилище.
        ◦ SSH Keys: обнаружение открытых и закрытых SSH-ключей, которые присутствуют на целевом устройстве.
        ◦ Certificates: обнаружение локальных или пользовательских сертификатов Windows, хранящихся на устройствах, контейнерах или в домене.
        ◦ Local Authorities: обнаружение локальных центров сертификации устройств.
        ◦ Services: возможность узнать какие службы выполняются на целевом устройстве.
        ◦ DevOps: обнаружение артефактов DevOps, присутствующих в устройствах.
        ◦ Glossary of Provisions: возможность создать список сканирования с сегментацией по типу.

Module A2A - App to App

    • .Net: доставка пароля через lib на .Net для добавления в код платформы.
    • Java: доставка паролей через библиотеку паролей на Java для добавления в код приложения платформы.
    • PHP: доставка пароля через библиотеку паролей на PHP для добавления в код приложения платформы.
    • Application Server: смена пароля в основных серверах приложений рынка.
    • senhasegura API: доставка пароля через Senhasegura API.

Module senhasegura.go

Senhasegura.go позволяет использовать права администратора для запуска приложений на локальных рабочих станциях. Этот модуль основан на .NET Framework для 4.8.

Поддерживаемые интеграции

Senhasegura предоставляет несколько типов интеграции, помимо возможности настройки шаблонов интеграции. Шаблоны могут быть изменены администратором.

Для выполнения интеграции могут потребоваться специальные плагины. Архитектура паролей и функции интеграции позволяют Senhasegura быстро разрабатывать такие плагины. 

Senhasegura неинвазивна. Поэтому установка агента в системах, управляемых решением, не требуется. Для некоторых приложений можно использовать Senhasegura через агентов, чтобы создать больше возможностей для интеграции.

Операционные системы

Поставщики	Версии
Apple	OS X
Cisco	Cisco IOS, NX-OS (Nexus)
EMC	UNIX
F5	Big IP, LTM
HP	HPUX, Tru64, NonStop (Tandem), Open VMS, HP5500, Tande
IBM	AIX, iSeries, Z/OS, CICS, OS/390
Linux	Fedora, Ubuntu, Red Hat, SUSE Linux, Debian
Microsoft	Windows XP, Windows Vista, Windows 7, Windows 8 / 8.1, Windows 10, Windows Server 2003, 2008, 2012, 2016
NetApp	NetApp
Oracle	Solaris, Solaris Intel, Enterprise Linux
Juniper	JUNOS

Сетевое оборудование

Поставщики	Оборудование
3Com	Коммутаторы
A10 Networks	A10
Adtran	NetVanta 838, Tracer 6420
Alcatel	Коммутаторы, Коммутаторы (Omniswitch 7000 Series), Intelligent Services Access Manager (ISAM)
Allot	Allot Secure Service Gateway, Allot Service Gateway, Allot SmartEngage, Allot WebSafe Personal
Applied Innovation	AISCOUT-S02
Aruba Networks	ArubaOS
Avaya	Media Gateway
Avocent	DSView management
BlueCoat	PacketShaper
Brocade	Silkworm
BTI Photonic Systems	NETSTENDER 1030
Cisco	Маршрутизаторы, ACS (Access Control Server), Коммутаторы Catalyst, Коммутаторы Nexus, JMC, Wireless LAN Controller 5508, WAAS, ONS, ESA (Email Security Appliance), Privilege 15, Unified Communication Manager, ISE (Identity Services Engine), UCS (Unified Computing System)
Citrix	Netscaler
Dell	Коммутаторы
Enterasys	Маршрутизаторы, коммутаторы
Ericsson	ServiceOn Element Manager (SOME)
F5	BigIP, LTM
Fujitsu	FSC iRMC
Gemalto	SafeNet KeySecure, SafeNet HSM
HP	ProCurve, HPE 5500
Huawei	S1720, S2700, S5700, S6720, S6720 V200R011C10
Juniper	Маршрутизаторы (JUNOS), Pulse secure
Mcafee	nDLP
Meinberg	Lantime
Netscout	Infinistream
Nokia	NetAct, DX200
Nortel	BayStack, VPN Router, Ethernet Routing Switch
Radware	ISR Infiniband Switch, ODS1 Load Balancer, Alteon, Linkproof
RFL Electronics	IMUX 2000
Riverbed	CMI, Xilinx
RuggedCom	Маршрутизаторы, коммутаторы
Symmetricom	Symmetricom Xli
Voltaire	ISR Infiniband Switch
Extreme Networks	Коммутатор, маршрутизатор
Yamaha	RTX
DLink	Коммутаторы, маршрутизаторы
Foundry	Коммутаторы

Серверы приложений

Поставщики	Серверы
Red Hat	Jboss
Kaspersky	Kaspersky Endpoint Security for Business
Microsoft	SQL Server, Exchange Server 2007 - 2019, entre outras aplicações que permitam interatividade via RemoteApp, Windows RPC e Windows RM, , IIS
Veritas	NetBackup 7.7, 8.0, 8.1 e 8.2
IBM	Websphere Application Server, Websphere Datapower
Apache Foundation	Apache HTTP Server, Apache tomcat
Oracle	WebLogic Server, Peoplesoft, Oracle Application Server

Устройства безопасности (межсетевые экраны, UTMs, IPSs)

Поставщики	Устройства
Acme Packet	Net-Net OS-E
Aker	Aker Firewall UTM
Blue Coat	Proxy SG
Checkpoint	FireWall-1, SPLAT, Provider-1, GAIA
Cisco Systems	PIX, ASA, IronPort, Mail Gateway
Critical Path	Memova Anti-Abuse
Fortinet	FortiGate, Fortimanager
IBM	DataPower Integration Appliance
Juniper	Netscreen
Mcafee	NSM (Network Security Manager), SideWinder, ePO
Nokia	Checkpoint FireWall -1 on IPSO
Palo Alto Networks	Panorama
ProofPoint	Protection Server
RSA	Authentication Manager (SecurID)
Safenet	Luna HSM
Schneider	Industrial Defender
SonicWall	Firewalls
Sophos	Astaro Security Gateway
SourceFire	SourceFire 3D
Symantec	Brightmail Gateway
TippingPoint	IPS, SMS
WatchGuard	Firebox X Edge e-series, Firebox X Core e-series, Firebox X Peak e-series, WatchGuard XTM
Imperva	DDoS Protection

Среды виртуализации

Поставщики	Среды
VMware	ESX/ESXi Server
Citrix	Xen Citrix
Microsoft	Hyper-V, Azure
Google	Google Cloud Platform (GCP)
Amazon	Amazon Web Services (AWS)
Rackspace	Rackspace Cloud, GoGrid
IBM	IBM SmartCloud
Generic	ISO installation media

Базы данных

Поставщики	Базы данных
IBM	DB2, Informix, Datastage
InterSystems	Caché Release 2010 - 2017 (и другие поддерживаемые ODBC)
Microsoft	SQL Server
MongoDB	MongoDB
MySQL	MySQL
ODBC	ODBC compatible databases
Oracle	Oracle Database, Oracle Enterprise Manage, RDBMS, Mysql 4 - 8, Oracle RAC
Postgresql	Postgresql 6 - 11
SAP	HANA
Sybase	Sybase Database, IQ

Хранилища

Поставщики	Хранилища
Dell	Dell EMC PowerMax 2000, Dell EMC PowerMax 8000, Dell EMC SC5020, Dell EMC SC5020F, Dell EMC SC7020, Dell EMC SC7020F, Dell EMC SC9000, Dell EMC SCv3000, Dell EMC Unity XT 380F, Dell EMC Unity XT 480F, Dell EMC Unity XT 680F, Dell EMC Unity XT 880F, Dell EMC XtremIO X2, Dell PowerVault, Dell EMC Isilon, Dell EMC VMAX Среди других моделей, совместимых с поддерживаемыми соединениями.
IBM	Storwize V7000 Gen 3 ”Next Gen”, Storwize V7000 Gen 2+, Storwize V7000 Gen 2, Storwize V7000 family, Storwize V5100E, Storwize V5030E, Storwize V5010E, Storwize V5030, Storwize V5020, Storwize V5010, Storwize V5000
Huawei	OceanStor 18000F V5, OceanStor 5300 V3, OceanStor 5300F, OceanStor 5500 V3, OceanStor 5500F, OceanStor 5600 V3, OceanStor 5600F , OceanStor 5800 V3, OceanStor 5800F V5, OceanStor 6800 V3, OceanStor 6800F V5 Среди других моделей, совместимых с поддерживаемыми соединениями
NetApp	NetApp ONTAP (BSD)
Hitachi	Enterprise Storage, séries E, F, G e 5.000
Pure Storage	File Storage

Приложения Windows 

Приложения, разработанные под Java, .Net, PHP, Phyton, учетные записи SQL, Планировщик задач Windows, службы Windows, приложения Apache, приложения IIS, службы COM+, кластерные приложения

Системы каталогов 

Поставщики	Системы
Digi	Digi Remote Manager
Fujitsu	iRMC
Microsoft	ActiveDirectory
Novell	Novell Directory Services (NDS)
Sun	Java System Directory Server
Red Hat	Red Hat Directory Server (RHDS), 389 Directory Server, FreeIPA
Oracle	ODI Oracle

Удаленный доступ и мониторинг 

Поставщики	Модели
Amazon	Amazon Web Services (AWS)
Dell	Dell Remote Access Card (DRAC)
HP	StorageWorks, iLO
CA Technologies	CA Remote Control
IBM	Maximo Application Suite
SUN Technologies	Desktop Management
Digi	Digi Remote Manager
Cyclades	Cyclades-TS
Fujitsu	ServerView Suite

Среды DevOps, VSC и другое программное обеспечение SDLC 

Поставщики	Модели
Ansible	Ansible
Atlassian	Bamboo CI/CD, JIRA Core, Bitbucket
GitLab Inc.	GitLab CI/CD
Google	Kubernetes
Jenkins	Jenkins CI/CD

Инструменты управления ИТ-услугами 

Поставщики	Инструменты
Atlassian	Jira Service Desk
Zendesk	Zendesk
Freshworks	Freshdesk
ServiceNow	ServiceNow ITSM
GLPI	ITSM GLPI

TOTP-инструменты

Senhasegura работает с любым инструментом генерации одноразового пароля на основе времени (TOTP).
Ниже представлены только несколько вариантов:

Поставщики	Инструменты
Google	Google Authenticator
Microsoft	Microsoft Authenticator
Authy	Twilio Authy 2-Factor Authentication
Red Hat	FreeOTP Authenticator
Sophos	Sophos Authenticator
LastPass	LastPass Authenticator
andOTP	andOTP

Плагины интеграции 

Интеграция	Функция
Jenkins	Позволяет получить доступ к секретам в Senhasegura

SIEM-решения

Поставщики	Версии
Exabeam	Версия i 31 и выше
IBM QRadar	Версия 7.3 и выше
LogRhythm	Версия 7.4 и выше
Rapid7 - InsightIDR	Версия 20180814 и выше
Rapid7 - InsightOps	Версия 20190204 и выше
Securonix	Версия 6.3 и выше
Splunk	Версия 6.3 и выше

SSO-решения

Поставщики	Решения
Okta	Lifecycle Management
RSA	RSA SecurID
Duo	Duo Multi-factor Authentication
Red Hat	Keycloak

Интеграции аутентификации

SSO

Инструменты	Протокол	Интеграция
Active Directory	LDAP	Полная
Azure AD	SAML 2.0	Полная
ForgeRock	SAML 2.0	Полная
Google	OpenID	Полная
AuthID	OpenID	Полная
Keycloak	OpenID SAML 2.0	Полная
Okta	OpenID SAML 2.0	Полная

MFA

Инструменты	Протокол	Интеграция
Duo	TOTP OpenID	Полная
Email	TOTP	Частичная
Google Authenticator	TOTP	Полная
Microsoft Authenticator	TOTP	Полная
Okta	TOTP OpenID	Частичная
RSA		Полная
SmartCards	A3 x.509	Частичная
SMS	TOTP	Частичная
Symantec VIP	TOTP	Полная
Tokens	A3 x.509	Частичная

Версия встроенного браузера

Firefox 91.6.1esr (64-бит)

Функции шифрования и безопасности

Шифрование

Библиотека OpenSSL, поддерживаемая OpenSSL Software Foundation, представляет собой реализацию криптографических протоколов SSL и TLS с открытым исходным кодом. В библиотеке реализованы основные алгоритмы шифрования на языке программирования C. Senhasegura использует криптографическую библиотеку OpenSSL для выполнения всех криптографических процессов, необходимых для работы решения. Библиотека OpenSSL шифрует всю информацию, хранящуюся в базе данных, поэтому все данные, используемые Senhasegura, защищены от несанкционированного доступа. Вся связь между компонентами решения использует протокол SSL (Secure Sockets Layer) для шифрования передаваемых сообщений.

Библиотека OpenSSL сертифицирована по стандарту FIPS 140-2. Узнать больше по ссылке:
https://csrc.nist.gov/CSRC/media/projects/cryptographic-module-validation-program/documents/security- policies/140sp4282.pdf

Для компаний, которым требуется более высокий уровень безопасности, Senhasegura предлагает PAM Crypto Appliance и интеграцию с основными HSM на рынке, таким образом, придерживаясь стандартов безопасности FIPS 140-2 уровня 2 и выше. Для аутентификации в веб-интерфейсе Senhasegura — как локально, так и через внешние серверы аутентификации — все пароли пользователей хранятся в формате хэшей SHA-256. Связь между рабочей станцией клиента и Senhasegura осуществляется посредством зашифрованной связи с соблюдением стандартов шифрования используемых протоколов. Независимо от канала связи, будь то RDP, SSH или HTTPS

Доступ к удаленным целевым устройствам соответствует одному и тому же стандарту шифрования во всех протоколах, допускающих настройку.

Стандарты безопасности

• FIPS 140-2
• Другие

HSM-шифрование

Для компаний, которым требуется более высокий уровень безопасности, вы можете выбрать аппаратный безопасный модуль (HSM), аппаратное устройство безопасности и шифрования с военными спецификациями и стандартами защиты от несанкционированного доступа.

Технические характеристики HSM

• Шифрование
• RSA (PKCS #1 V2.1) (1024, 2048, 4096 бит)
• ECDSA (NIST FIPS PUB 186-3)
• FIPS 197 AES 128, 192, 256
• FIPS 46-3 DES/3DES
• Поддержка сертификатов x509v3
• Поддержка импорта и внутренней генерации ключей
• Генератор случайных чисел
• Внутреннее аппаратное обеспечение соответствует стандарту AIS31 P2
• Real time clock (RTC)
• Внутреннее, максимальное отклонение 1 минута в год
• Устройство и функции безопасности устройства
• HSM Entrust nShield
• HSM Kryptus
• HSM Thales
• HSM GEMALTO
• HSM DINAMO
• HSM YUBICO

Шифрование веб-прокси

• Методы обмена ключами:
  • ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521
  • ssh-curve25519-sha256
  • ssh-curve25519-sha256-libssh
  • diffie-helman-group-exchange-sha256 diffie-helman-group-exchange-sha1 diffie-helman-group14-sha1
  • diffie-helman-group1-sha1
• Поддерживаемые ключи:
  • ecdsa-ssh-nistp256 ecdsa-ssh-nistp384 ecdsa-ssh-nistp521 ssh-ed25519
  • ssh-rsa ssh-dss
• Методы MAC:
  • hmac-sha2-256 
  • hmac-sha2-512
  • hmac-sha1
  • hmac-sha1-96
  • hmac-md5
  • hmac-md5-96
  • hmac-ripemd160
  • hmac-ripemd160-openssh-com
• Шифры
  • aes128-ctr aes192-ctr aes256-ctr aes256-cbc
  • rijndael-cbc-lysator-liu-se aes192-cbc
  • aes128-cbc blowfish-cbc arcfour128 arcfour cast128-cbc 3des-cbc

Шифрование прокси терминала 

• Методы обмена ключами:
  • ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521
  • diffie-hellman-group16-sha512
  • diffie-hellman-group-exchange-sha256 diffie-hellman-group14-sha256
  • diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1
  • diffie-hellman-group1-sha1
• Поддерживаемые ключи:
  • ssh-ed25519
  • ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 ssh-rsa
  • ssh-dss
• Методы MAC:
  • hmac-sha2-256
  • hmac-sha2-512
  • hmac-sha2-256-etm@openssh.com
  • hmac-sha2-512-etm@openssh.com
  • hmac-sha1
  • hmac-md5
  • hmac-sha1-96
  • hmac-md5-96
• Шифры:
  • aes128-ctr
  • aes192-ctr
  • aes256-ctr
  • aes128-cbc
  • aes192-cbc
  • aes256-cbc
  • blowfish-cbc
  • 3des-cbc

Шифрование сессий SSH 

Симметричные шифры

• 3DES
• AES128-cbc
• AES192-cbc
• AES256-cbc
• rijndael-cbc
• AES128-ctr
• AES192-ctr
• AES256-ctr
• AES128-gmc
• AES256-gmc
• chacha20-poly1305

Симметричные шифры, поддерживающие аутентифицированное шифрование 

• AES128-gmc
• AES256-gmc
• chacha20-poly1305

MAC

• hmac-sha1
• hmac-sha1-96
• hmac-sha1-256
• hmac-sha1-512
• hmac-md5
• hmac-md5-96
• umac-64
• umac-128
• hmac-sha1-96-etm
• hmac-sha1-256-etm
• hmac-sha1-512-etm
• hmac-md5-etm
• hma-md5-96-etm
• umac-64-etm umac-128-etm

Алгоритмы обмена ключами

• diffie-hellman-group1-sha1
• diffie-hellman-group14-sha1
• diffie-hellman-group14-sha256
• diffie-hellman-group16-sha512
• diffie-hellman-group18-sha512
• diffie-hellman-group-exchange-sha1
• diffie-hellman-group-exchange-sha256
• ecdh-sha2-nistp256
• ecdh-sha2-nistp384
• ecdh-sha2-nistp521
• curve25519-sha256

Ключ сертификата

• ssh-ed25519-cert-v01
• ssh-rsa-cert-v01
• ssh-dss-cert-v01
• ecdsa-sha2-nestp256-cert-v01
• ecdsa-sha2-nestp384-cert-v01
• ecdsa-sha2-nestp521-cert-v01

Типы ключей 

• ssh-ed25519
• ssh-ed25519-cert-v01
• ssh-rsa
• ssh-dss
• ecdsa-sha2-nestp256
• ecdsa-sha2-nestp384
• ecdsa-sha2-nestp521
• ssh-rsa-cert-v01
• ssh-dss-cert-v01
• ecdsa-sha2-nestp256-cert-v01
• ecdsa-sha2-nestp384-cert-v01
• ecdsa-sha2-nestp521-cert-v01

Доступность и чрезвычайные ситуации 

Система Senhasegura поддерживает работу на виртуальных или физических устройствах. Виртуальное устройство Senhasegura настроено для установки без отключения пользователей-администраторов в операционной системе.
В любой конфигурации система поддерживает настройки для высокой доступности и угроз внешних чрезвычайных ситуаций.

Резервное копирование

Senhasegura предоставляет несколько механизмов для восстановления информации в случае сбоя:

Резервное копирование зашифрованного пароля

Внешнее копирование в клиентской инфраструктуре. Резервный файл с этой информацией защищен паролем, который распространяется на многократное хранение среди доверенных участников по свободному выбору клиента. Для получения и извлечения информации требуется как минимум два пользователя-хранителя. После доставки Senhasegura все пароли к сейфу будут сброшены, и клиент получит их соответствующее хранение, за исключением паролей к базе данных Senhasegura и операционной системе.
Начиная с версии 3.10 процедура резервного копирования также будет выполняться для пользовательских паролей и ключей доступа модуля DevSecOps.

Быстрое восстановление резервного копирования

Внутреннее и быстрое восстановление. Такой вид копирования обеспечивает хранение большего объема критической информации и считается более быстрым. Так как при наличии базового содержимого среда восстанавливается быстро и становится доступной уже по запросу.

Зашифрованное резервное копирование настроек 

Благодаря этому типу копирования не только сохраненные данные, но и настройки пароля могут быть доступными для извлечения. Этот тип резервного копирования не включен по умолчанию, но его активация доступна в настройках системы.

Безопасное резервное копирование видео 

Senhasegura позволяет сохранять резервные копии видео в удаленном каталоге под ответственность клиента. По умолчанию видео хранятся в файловой системе решения.

Резервное копирование секретов

Резервное копирование секретов: console credentials и access keys хранятся в выделенных каталогах.

Мониторинг, системный журнал и SIEM

Senhasegura имеет возможности мониторинга, предназначенные для оповещения администраторов о любом процессе, интеграции, подключении или сбое доступа.

Система отправляет оповещения администратору на экран, по электронной почте или SMS, snmpmibs и snmptraps. 

Решение может быть интегрировано с любым отраслевым инструментом с использованием стандарта SNMP V1, V2 или V3.
Интеграция с сервисами Syslog и SIEM.

Собственная интеграция с ArcSight.

Совместимость с браузерами

Веб-интерфейс Senhasegura доступен только по протоколу HTTPS, и мы рекомендуем предоставить собственный сертификат SSL в соответствии с действующими на рынке предположениями о безопасности.

Senhasegura использует технологии HTML5 и WebSocket, и только браузеры, поддерживающие эти технологии, обеспечат полную защиту паролей. Решение также поддерживает совместимость со следующими браузерами в их самых последних версиях:

• Internet Explorer
  
• Google Chrome
• Microsoft Edge
• Mozilla Firefox

Условия работы сети

Соединения между пользователями и приложением Senhasegura имеют минимальную пропускную способность 180 Кбит/с на удаленную сессию без потери функциональности.

Соединения между пользователями и приложением Senhasegura имеют максимальную задержку 900 мс без потери функциональности.

Приложение Senhasegura позволяет поддерживать протоколы IPV4 и IPV6 в соответствии со спецификацией IETF RFC 2460.

Поддерживаемые протоколы и порты

Senhasegura позволяет использовать несколько протоколов через соответствующие стандартные порты или любые другие, настроенные в решении, для следующих операций: удаленные подключения, изменение пароля, Scan Discovery, аутентификация и доступ в интернет.

Операции выполняются на основе портов, настроенных на устройстве.

Соединение	Порт по умолчанию	Описание
HTTP	80	Веб-доступ
HTTPS	443	Защищенный веб-доступ
LDAP	389	Scan Discovery / Аутентификация
LDAPS	636	Смена пароля / Scan / Discovery / Аутентификация
MySQL	3306	Удаленное подключение* / смена пароля
Oracle	1521	Удаленное подключение* / смена пароля
PostgreeSQL	5432	Удаленное подключение* / смена пароля
RDP *	3389	Удаленное подключение
RM HTTP	5985	Смена пароля / Scan Discovery
RM HTTPS	5986	Смена пароля / Scan Discovery
SQL Server	1433	Удаленное подключение* / смена пароля
SSH	22	Удаленное подключение / смена пароля
Telnet	23	Удаленное подключение / смена пароля
VNC **	5900	Удаленное подключение
Windows RM	5986	Смена пароля
Windows RPC	135	Смена пароля / Scan Discovery
X11 Forward **	22	Удаленное подключение / изменение пароля

Поддерживаемые протоколы доступны только для TLS1.2 и TLS1.3 после подключения к хранилищу Senhasegura.

* только RemoteApp
** графические интерфейсы

Производительность 

Архитектура Senhasegura рассчитана на максимальную производительность во всех операциях, выполняемых с помощью решения.

Все тесты на Senhasegura PAM Crypto Appliance проводились со следующей конфигурацией:

Настройки оборудования

• Версия: Senhasegura PAM Crypto Appliance Titanium
  
• Процессор: Intel E5-2630v4
• Оперативная память: 128 Гб
• Жесткий диск: 2x2TB NLSAS RAID1

Настройки Senhasegura 

• Процессор: 38 vCPUs
• Оперативная память: 126 Гб
• Жесткий диск: 2 Тб

Сессии SSH через терминальный прокси Senhasegura 

Соединения	ЦПУ	ОП	ДИСК W
500	5%	10 Гб	4.500 КБ/с
2000	20%	50 Гб	6.000 КБ/с
3500	55%	85 Гб	8.000 КБ/с

Сессии SSH через Senhasegura веб-прокси 

Соединения	ЦПУ	ОП	ДИСК W
250	10%	10 Гб	2.000 КБ/с
750	35%	15 Гб	5.000 KБ/с
1250	45%	20 Гб	7.500 КБ/с

Сессии RDP через Senhasegura RDP Proxy 

Соединения	ЦПУ	ОП	ДИСК W
500	5%	15 Гб	2.000 КБ/с
1250	10%	30 Гб	5.000 КБ/с
2000	15%	50 Гб	8.500 КБ/с

Сессии RDP через Senhasegura веб-прокси 

Соединения	ЦПУ	ОП	ДИСК W
250	5%	10 Гб	1.000 КБ/с
1000	10%	20 Гб	9.000 КБ/с
1750	20%	30 Гб	16.000 КБ/с

Веб-соединения HTTP (высокая нагрузка)  

Соединения	ЦПУ	ОП	ДИСК W
10	10%	5 Гб	1.500 КБ/с
20	18%	10 Гб	1.800 КБ/с
30	20%	15 Гб	2.100 КБ/с

Веб-соединения HTTP (средняя нагрузка)

Соединения	ЦПУ	ОП	ДИСК W
10	10%	4 Гб	10.000 КБ/с
20	20%	8 Гб	40.000 КБ/с
30	20%	10 Гб	80.000 КБ/с

Веб-соединения HTTP (низкая нагрузка)

Соединения	ЦПУ	ОП	ДИСК W
10	10%	10 Гб	10.000 КБ/с
35	20%	15 Гб	20.000 КБ/с
60	30%	20 Гб	40.000 КБ/с

Лимит ресурсов 

Платформа Senhasegura имеет несколько функций, которые технически ограничены по причинам ограничений базы данных, ограничений операционной системы, ограничений файловой системы или ограничений архитектуры программного обеспечения.

Ограничения, связанные с контрактом или лицензией, устанавливаются контрактом и не будут рассматриваться в этом разделе.

Ограничения, связанные с количеством контрактных экземпляров в кластерном сценарии, также не будут рассматриваться в этом разделе. Мы сосредоточимся на ограничениях экземпляра и его компонентов.

Лимит пользователей 

Технически приложение может поддерживать до 16 500 000 записей пользователей. Данный лимит распространяется на пользователей WebService A2A, пользователей служб и фактических пользователей системы. Это число не отражает возможности одновременного использования системы всеми этими пользователями. Емкость одновременного использования может варьироваться в зависимости от типа использования, количества контрактных экземпляров и предоставляемой сетевой задержки.

Лимит устройств

Технически приложение поддерживает до 16 500 000 записей устройств. В это число входят даже деактивированные устройства. Данный лимит не отражает возможность доступа ко всем этим устройствам через прокси или любой другой асинхронный процесс, который одновременно обращается к устройству. Возможность управления устройствами может зависеть от количества контрактных экземпляров, поддерживаемых систем и протоколов, а также предоставляемой сетевой задержки.

Лимит учетных данных и защищенная информация 

Технически приложение может поддерживать до 16 500 000 учетных записей. Этот лимит распространяется даже на учетные данные, ставшие неактивными с течением времени. Это число не означает, что все эти учетные данные доступны и используются асинхронными задачами или прокси-сессиями одновременно. Возможность управления учетными данными зависит от количества контрактных экземпляров и предоставляемой сетевой задержки.

Запись прокси-сессии 

В отличие от других решений на рынке, Senhasegura не выполняет захват экрана в формате изображения или видео в реальном времени в формате mp4 или других медиаформатах. Реальное постоянство протокола обеспечивает точную и оптимизированную копию сессий. Время бездействия записывается с помощью меток времени 4 байта в секунду, в отличие от захвата экрана, который потребляет гораздо больше ресурсов. Запись протокола в собственном формате уже учитывает собственный формат сжатия протокола.

Видео сессии зашифровано и хранится в собственном формате и на том же сервере, что и пароль, со всеми стандартными средствами защиты хранилища, обеспечивающими целостность видео. Если заказчик хочет применить собственные стандарты безопасности, он может настроить внешнее резервное копирование.

Поведение пользователя будет определять количество сессий, которые можно сохранить. Не исключая возможности расширения диска или подключения удаленного хранилища для увеличения емкости хранилища.

Такое сочетание факторов делает лимит сессий практически неограниченным. Обратитесь к таблице производительности, описанной в производительности сессии, чтобы рассчитать свою потребность.

Одновременные прокси-сессии 

Количество одновременных сессий может варьироваться в зависимости от количества контрактных экземпляров, что делает решение соответствующим вашим потребностям без чрезмерного приобретения ресурсов. Кластерная архитектура также позволяет определять выделенные узлы для конкретных протоколов или определять выделенные экземпляры для разных центров обработки данных или сегментов сети. Такое сочетание факторов делает лимит сессий практически неограниченным. Обратитесь к таблице производительности, описанной в разделе производительности, чтобы рассчитать свои потребности.

Версии Senhasegura 

Номенклатура версий Senhasegura соответствует формату M. N.P. (например, 3.22.1-9)

Тип обновления	Описание
M - Общее	Включает глубокие архитектурные и/или технологические изменения.
N – дополнительные компоненты	Включает новые функции и/или улучшения существующих функций. Также включает известные исправления ошибок и незначительные архитектурные изменения.
P – критическое	Включает исправления критических ошибок и исправления безопасности (рекомендуется немедленное обновление).

Как часто выходят новые версии 

Частота обновлений Senhasegura может варьироваться от 1 до 5 месяцев, в зависимости от периода года.

Что касается доступных форматов, есть два варианта:

• Для новой среды Senhasegura можно использовать виртуальные машины, доступные в службе поддержки партнеров
• Обновления всегда доступны в наших репозиториях, а новые выпуски обновляются, как только они становятся доступными

Требования к установке 

Сценарии использования

Для корректного функционирования решения необходимо определить возможные сценарии использования, в которых будет выполняться управление привилегированным доступом.

Ниже вы можете найти несколько вариантов использования:

• Active Directory: администратор Active Directory хочет иметь доступ к удаленному рабочему столу (RDP) к серверу Active Directory Server Windows Server 2016 с использованием пользователя «Администратор».
• Databases: администратор базы данных хочет иметь доступ к программному клиенту SQL Server Management Studio 2014, который управляет базой данных SQL, используя пользователя локального администратора производственного экземпляра базы данных «sa».
  
• Network Assets: администратору инфраструктуры требуется доступ через командную строку, оболочку или консоль к маршрутизатору Cisco, через порт SSH или Telnet, используя пользователя «Оператор» или «Администратор».
  
• Web Applications: доступ к порталу AWS, используя учетную запись администратора облачных вычислений, используя учетную запись «senhasegura@gmail.com».
  
• Deletion of credentials in hardcode: если вы хотите удалить учетные данные базы данных, записанные в исходном коде приложения для учета, измените пароль, синхронизированный в файлах конфигурации и службах, зависящих от аутентификации, или предоставьте API подключения для вашей подписки.
  
• Registration of Activities with Generic Users: запись о действиях во время любой сессии, включая журналы пользовательского аудита, искать любую команду, выполняемую с клавиатуры во время сессии и в записях.
  
• Segregation of Functions and Segmentation of Functions: вы хотите создать профили пользователей, разбитые по спискам запрещенных команд, использующие одни и те же привилегированные учетные данные. Вы хотите определить группы с привилегированным доступом к связанным пользователям, принадлежащим к той же области.
  
• VPNs Optimization: вы хотите контролировать и отслеживать в режиме реального времени доступ поставщиков и сторонних пользователей к корпоративной среде, предоставлять удаленный доступ только к определенным приложениям или сервисам в сети на заранее установленное время.
  
• Cloud Environment Recording: вы хотите управлять доступом к облачным приложениям и обеспечивать легитимность пользователей, которые будут подключаться к тем же стандартам управления ИТ, что и все другие внутренние сетевые среды.
  
• Shared Access: с критически важными приложениями, лицензирование которых очень дорого, Senhasegura может предоставить общий неодновременный доступ из нескольких мест для разных пользователей, используя одни и те же привилегированные учетные данные, получая независимую и персонализированную информацию для каждой сессии и записи видео.
  
• Repository for Strength Analysis: анализ поведения, чтобы получить показатели, отчеты об использовании модели, планирование инвентаризации и структурирование политики для эффективного использования ресурсов. Онлайн-доступ к записям сессий для устранения неполадок.
  
• Information Protection: хранение информации с цифровыми сертификатами, ключами подключения, ключами шифрования и паролями личного доступа, с помощью которых вы можете определять потоки и элементы управления доступом, которые свидетельствуют и отслеживают их использование и визуализацию.

Требования в управляемых системах 

Определите следующую информацию для управляемых систем:

• Имя хоста: имя хоста устройства. Оно будет идентификатором запросов. (Например, apl001s10 или Facebook).
• Управление IP: IP-адрес управления устройством, используемый хранилищем для подключения. (Например, 192.168.10.1 или facebook.com).
• Производитель: производитель устройства. Он будет создан, если вы не зарегистрированы. (Например, Microsoft, Oracle).
• Тип: тип устройства. Он будет создан, если вы не зарегистрированы. (Например: server, Subscription)
• Модель: модель устройства. Она будет создана, если вы не зарегистрированы. (Например, Windows Server 2012).
• Местоположение: географическое положение. Где находится устройство. Он будет создан, если вы не зарегистрированы. (Например, ЦОД Гватемала).
• Дополнение 1: дополнительная информация. (Например, Platform, Core, Accounting).
• Дополнение 2: дополнительная информация. (Например, System, Database, Data, Main Application)
• Подключение: подключение устройства и шлюза, разделенные запятой и двоеточием. (Например: RDP: 3389, SSH: 22).
• Домен: домен устройства. (Например, domain.com)
  

Требования к привилегированной учетной записи 

Чтобы получить доступ к управляемым системам, вы должны иметь следующую информацию из учетных данных или привилегированных учетных записей:

• Password Type: политика паролей (Например, local user Privileged)
• User: имя пользователя (Например: root).
• Password: значение пароля. Если это поле не заполнено, пароль не обновится. (Например, Da@lU!83m$1).
• Domain: домен учетной записи (Например, domain.com).
• Additional information: дополнительная информация о текущем удостоверении. Используется для экземпляров БД, смены пароля или ссылок в целом. (Например, ORAC19).
• Labels: метки пароля, разделенные запятыми. Они используется для группировки или фильтрации определенных учетных данных. (Например: cellphone, dev)
• Enable Auto Change: указать, будет ли пароль автоматически изменен хранилищем (Да или Нет).
• Swap plugin: плагин, используемый в модели изменения. (Например: NetSSH)
• Change Template: шаблон для смены пароля. (Например, Linux as root)
• Status Control: указывает, будет ли статус пароля автоматически контролироваться хранилищем. (Да или Нет)
• Plugin activation: плагин, используемый моделью активации. (Например: Net SSH)
• Activation model: модель, используемая для активации учетных данных. (Например: Enable credentials as root)
• Plug-in inactivation: плагин, используемый моделью деактивации учетных данных. (Например, Net SSH)
• Inactivation model: шаблон, используемый для выполнения деактивации учетных данных. (Например: Disabling credentials as root)
• User for connection: пользователь, используемый для подключения к оборудованию и выполнения изменений состояния и операций управления. Вы можете использовать те же учетные данные. (Например: root or even password)
• Hostname for connection: имя хоста, используемое для подключения к устройству и выполнения операций управления и изменения состояния. Вы можете использовать то же значение пароля. (Например, apl001s10 или Even of the password).
• Credential owner: пользователь учетной записи.

Требования к группам доступа и пользователям 

Чтобы запустить хранилище Senhasegura и определенные привилегированные учетные записи, необходимо создать группы доступа. Они позволят применять фильтры по сегментам или группам, различным управляемым системам, привилегированным учетным записям и привилегиям, для которых пользователи должны иметь свои собственные учетные данные доступа. Вы можете создать их локально в хранилище или интегрировать с источником аутентификации, таким как Active Directory, Radius или TACACS, для настройки этих функций:

Требования:

• Number of Access Groups
• Names of Access Groups
• Systems Privileged by Access Groups
• Privileged Accounts by Access Groups
• Users by Access Groups
• Options by Access Groups (Доступ к сессий и просмотр пароля должны быть установлены, если вам нужно ввести причину или получить одобрение)
• Access limitations by days of the week and time slots (8:00 -12:00, 12:00 - 16:00, 16:00 - 20:00, 20:00 - 00:00, 00:00 - 04:00, 04:00 - 08:00).

Пример заполнения поля группы доступа:

Имя	Система	Привилегированные УЗ	Пользователи	Опции	Ограничения доступа
Servers	SRV Win 2016 (10.235.x.x)	Administrator	a.martinez	только доступ к сессии без запроса или одобрения	Каждый день с 8:00 до 17:00

При росте числа пользователей и устройств, определенных изначально, решение должно быть рассчитано с запасом в 20%, чтобы расти без необходимости модификации оборудования. Если рост более значительный, всегда можно масштабировать решение, интегрируя его с другим оборудованием с превосходящими возможностями.

Профили пользователей в Senhasegura

Чтобы решение работало по назначению, мы рекомендуем иметь следующие профили доступа:

• Administrator: пользователь с более высокими привилегиями в хранилище, отвечающий за действия по настройке, изменение и устранение любой конфигурации во время ее работы. Рекомендуется, чтобы существовал только один профиль администратора, и чтобы любая деятельность, выполняемая им, была предварительно задокументирована и авторизована.
  
• Configurator: пользователь с высокими привилегиями в хранилище, ответственный за привилегированную учетную запись или действия по модификации системы, которыми он управляет. Рекомендуется, чтобы было не менее двух пользователей с профилем Configurator и чтобы любое выполняемое ими действие было предварительно задокументировано и авторизовано.
  
• Auditor: пользователь с правами только на просмотр записей сессий и их журналов аудита. У этого профиля может быть несколько пользователей, которые могут быть частью персонала компании или сторонними подрядчиками.
  
• User with privileged access: пользователи только с сессионным доступом к управляемым системам, которые используют привилегированные учетные данные, определенные в группе доступа, к которой принадлежит пользователь. Можно настроить столько пользователей, сколько разрешено в пользовательской лицензии.
  
• View of user with a privileged password: пользователь с доступом для просмотра пароля привилегированной учетной записи управляемых систем, определяемой группой доступа, к которой принадлежит пользователь. Можно настроить столько пользователей, сколько разрешено в пользовательской лицензии.
  
• User with privileged access and view: пользователь с привилегированным доступом, режимом входа в систему, паролем для управляемых систем и привилегированные учетные данные, определяемые группой доступа, к которой принадлежит пользователь. Можно настроить столько пользователей, сколько разрешено в пользовательской лицензии. В этом профиле может быть несколько пользователей. Они могут быть частью персонала компании, приложений или сторонними подрядчиками.

Пример заполнения полей пользователя:

Имя	Имя пользователя	Отдел	Email	Телефон	Группа доступа	Профиль
Alex Martinez	a.martinez	Administration	alex.m@gmail.com	+000 000XXXX	Servers	Пользователь с привилегированным доступом

Требования к виртуальным устройствам PAM

Совместимость

Вы можете реализовать Senhasegura в виртуализированных средах. Требования к виртуализации зависят от решения, используемого для развертывания, и необходимых устройств. В соответствии с определенной архитектурой совместимыми средами являются следующие:

• VMware® (ESX/ESXi Server): поддержка ESXi 7.0 и ESXi 6.x (OVA deployment), необходимо использовать драйвер сетевого адаптера VMXNET3, а также паравиртуализированный диск. При развертывании виртуальной машины (ВМ) обновление должно выполняться на оборудовании машины. Можно использовать виртуальные машины в формате OVA/OVF.
• Xen Citrix®: поддержка Citrix Hypervisor 8.2 LTSR, Citrix XenServer 7.0, XenServer 7.1 LTSR, и Xen Project 4.x.x Series (развертывание OVA). Вы должны использовать генератор HVM. Можно использовать виртуальные машины формата RAW.
• Microsoft® Hyper-V: поддержка Windows Server 2019, Windows Server 2016, Windows Server 2012, и Windows 10 (преобразование OVA в VHD), можно использовать виртуальные машины в формате VHD/VHDx. Azure: можно использовать виртуальные машины в формате VHD. AWS: виртуальная машина в структуре OVA или VMDK.
• Microsoft® Azure (преобразование OVA в VHD).
• Linux KVM(QCOW2).
• Amazon (Amazon Web Services - AWS) (развертывание AMI) (введите ID аккаунта и регион).
• Google® Cloud Platform (GCP) (развертывание OVA).
• Openstack: можно использовать виртуальные машины в формате RAW.
• ISO installation media.
  

Требования к оборудованию

Данные требования зависят от максимального количества одновременных сессий, обрабатываемых решением, и времени хранения записи, заданного каждым сценарием в различных средах, которые определяются в соответствии со следующей информацией:

    • RDP/SSH: когда доступ осуществляется прокси-сервером терминала.
    • Web: когда доступ осуществляется через браузер.

Структура доступа выглядит следующим образом:

Потребление на соединение 

Оборудование	Нагрузка	RDP/SSH	Веб
ЦПУ: количество одновременных подключений на ядро (подк./ядро)	Умеренная	300	30
ОП: объем памяти, используемый на одно соединение (Мб/подк.)	Умеренная	20	40
ЖД: место на диске по времени на соединение (Кб/с/подк.)	Умеренная	3	4

Сетевой трафик на соединение	(Сторона сервера RX / TX)	(кбит/с / подк.)
Умеренный	1/3	45/5

Cетевой трафик на соединение	(Сторона клиента RX / TX)	(кбит/с / подк.)
Умеренный	0.2/1.0	10/80

Для архитектуры высокой доступности (Active-Passive) с двумя элементами в кластере необходимы две машины с точными требованиями к оборудованию. Для модели (Active-Active) необходимо добавить балансировщик, который не входит в комплект.

Требования к оборудованию RDS сервера (только если применимо)

Если нужно определить сессии с сегментированными приложениями в средах Windows (выделенные программные клиенты, промежуточные базы данных и т. д.), вам необходимо внедрить сервер служб удаленных рабочих столов (RDS), лицензирование и внедрение которого не покрываются Senhasegura. Доступность функций для этой услуги требования к доступности оборудования и лицензии должны быть умножены на количество функций: Службы удаленного рабочего стола. 

Приложения должны быть опубликованы с этого сервера, после чего Senhasegura будет использовать API удаленных приложений для использования службы. Размер этого сервера зависит от количества конкретных параллельных серверов для этого типа сессии: Узлы сессий удаленного рабочего стола.

Мы рекомендуем приобрести этот сервер по крайней мере с одной операционной системой Windows Server 2008 R2 и с лицензиями на пользователя или сервер, которые должен предлагать производитель: «RDS Per User CAL». Ссылка на производителя с информацией о лицензировании: Удаленный рабочий стол клиентская лицензия доступа.

Что касается аппаратного обеспечения, необходимого для работы производимого сервера, существует таблица уровней функциональной нагрузки объектов. 

У производителя есть руководства по реализации этой функции с информацией о ней: Рекомендации для виртуальной машины удаленного рабочего стола.

Исходя из всего вышеизложенного, в случае с клиентами мы рекомендуем оценить количество вариантов использования, требующих сегментированного доступа для каждого приложения, при этом мы имеем количество одновременных пользователей и успеваем получить необходимые требования к оборудованию для сервера RDS, который должен быть установлен на месте.

Установка Senhasegura

Развертывание Senhasegura

Создайте виртуальную машину с 8 ГБ оперативной памяти и 4 ядрами процессора - этих ресурсов будет достаточно для начала работы.

Подключите к созданной машине готовый виртуальный диск с установленным продуктом:

1. OVA
   https://drive.google.com/file/d/1ODWBKDPvntmAQ6YPXTAfYLZRqdCLGfhz/view
   
2. VMDK
   https://drive.google.com/file/d/1Ud2L2gUda-TbUL7yOgqnRXa7rLK-UWRm/view
3. OVA - SHA1
   https://drive.google.com/file/d/1FDf_OaLi2vGcYhl6udRDB2GdN9QoXDxa/view
   
4. VHD
   https://drive.google.com/file/d/1F7Wt-26YaInbRuJnBV-vuxzCLHuXJccL/view
   
5. RAW
   https://drive.google.com/file/d/16_GYDdVW82YKtTQV46AWXEKX_5FL7ldU/view
   
6. Microsoft Azure
   https://drive.google.com/file/d/1F7Wt-26YaInbRuJnBV-vuxzCLHuXJccL/view
   
7. Google Cloud Platform
   https://drive.google.com/file/d/1cxIZ7tzraiqir3TRXh3vPBbwxoNQXco3/view
   
8. KVM - RedHat - ProxMox - Nutanix and others
   https://drive.google.com/file/d/1cH0bl_rt0q7BUubsa2Gooxm-vrwSNrd1/view
   

Подключение к машине

Запустите машину, подключитесь в ней любым SSH-клиентом

Порт SSH	59022
Имя пользователя:	mt4adm
Пароль:	mt4adm

Настройка сети

sudo orbit network 

Изменение имени хоста

sudo orbit hostname [НОВОЕ ИМЯ ХОСТА]

Подключение к серверам точного времени

sudo orbit ntp --servers=СЕРВЕР-1,СЕРВЕР-2 --listen-interface=eth0

Обновление системы

sudo apt-get update
sudo apt-get install orbit-cli
sudo orbit upgrade 

Перезагрузитесь после обновления

sudo orbit shutdown --reboot 

Проверка версии

sudo orbit version

Установка завершена!

Активация пробной версии

Предполагается, что вы устаналиваете пробную версию в рамках пилота или являетесь зарегистрированным поставщиком Senhasegura. В обоих случаях у вас должен быть контакт специалиста из АФИ Дистрибьюшн, который понадобится для активации пробной версии.
В случае, если такого контакта у вас нет, напишите нам на support@afi-d.ru

После установки перейдите в веб-интерфейс Senhasegura:

1. откройте веб-браузер
2. введите в поле адреса IP-адрес виртуальной машины с Senhasegura
3. нажмите Enter

При первом входе в интерфейс вы увидите код запроса для активации лицензии.

Код действует 30 минут, поэтому:

1. Убедитесь, что наш специалист, помогающий вам с проведением пилота, на связи в любом из мессенджеров.
   
2. Передайте ему код запроса.
3. Получите код активации.
4. Вставьте код активации в соответствующее поле и подтвердите активацию.

После успешной активации снова введите в веб-браузере в поле адреса IP-адрес виртуальной машины с Senhasegura, чтобы попасть на страницу входа, ознакомиться и согласиться с лицензионным соглашением (EULA):

USERNAME (Имя пользователя)	admin
PASSWORD (Пароль)	5enh@5eGuR@!

Включение модулей

Сразу после установки и активации Senhasegura вам доступен только веб-интерфейс платформы Orbit.
Чтобы включить остальные модули:

1. Перейдите по адресу https://(IP Senhasegura)/flow/orbit
2. Нажмите кнопку Settings
   
3. Включите Enable application и Enable robots
4. Перезагрузите веб-консоль (обновите страницу в браузере)
   

Теперь модули доступны для добавления устройств, пользователей и дальнейшей настройки.

Смена стандартных паролей

Не храните пароли от учетных записей администратора Senhasegura внутри Senhasegura, так как они могут понадобиться в случае, когда PAM по какой-то причине недоступен.

Подключение по SSH

Порт SSH	59022
Имя пользователя:	mt4adm
Пароль:	mt4adm

Чтобы поменять пароль, воспользуйтесь командой passwd

Вход в веб-интерфейс

USERNAME (Имя пользователя)	admin
PASSWORD (Пароль)	5enh@5eGuR@!

После входа стандартный пароль нужно поменять на безопасный, записать его и положить в сейф.
Дальнейшую работу с системой следует вести от имени отдельно созданного пользователя.

Учетная запись встроенного администратора обладает исключительными правами и должна использоваться лишь для первичной настройки и в случае аварий.

Настройка сетевого экрана (Firewall)

Следующие разрешающие правила следует добавить на вашем сетевом экране перед продолжением настройки.

Доступ Senhasegura к внешним службам

Доступ внешних служб к Senhasegura

Доступ пользователей к Senhasegura

Доступ Senhasegura к целевым устройствам

Ниже приведен полный список портов, по которым Senhasegura может обращаться к целевым устройствам. Открыть нужно только те, которые фактически будут использоваться Senhasegura для управления устройством.

Между узлами Senhasegura (в случае создания кластера)

Настройка резервного копирования

Варианты резервных копий

Senhasegura предоставляет следующие варианты резервного копирования:

• Резервное копирование секретов (Break the glass). Такая резервная копия может храниться во внешней среде - все пароли в ней зашифрованы мастер-паролем. В экстренной ситуации можно будет вскрыть такую резервную копию через ритуал восстановления мастер-ключа. Резервная копия паролей не используется для восстановления системы. Она нужна для доступа клиента к паролям учетных данных в случае полной недоступности решения Senhasegura.
  
• Резервное копирование системы. Содержит в себе системную информацию: данные, настройки Senhasegura, настройки среды, в которой она работает, программы, приложения и записи доступа. Такая копия может периодически копироваться в резервный репозиторий клиента в соответствии с политиками его безопасности. Этот тип резервного копирования требует длительного времени восстановления и дополнительного дискового пространства.
  
• Резервное копирование видео прокси сессий. Резервная копия видеозаписей подключения через прокси Senhasegura, зашифрованные мастер-ключом.

Резервное копирование секретов и системы создается, когда опция резервного копирования включена и настроена. Для резервного копирования видео прокси сессий необходимо выбрать «Да» в окне «Enable sessions file backup?».

Если система потеряет доступ к удаленному каталогу резервного копирования, вам будет отправлено уведомление по электронной почте и в SIEM.

Подключение резервного раздела 

Если вы хотите, чтобы резервная копия была создана в разделе удаленного диска, перейдите в Orbit Config Manager ➔ Settings ➔ Backup; вы можете настроить его через CIFS или NFS или прямую отправку с помощью rsync.  Выберите «Да» в окне «Mount a remote partition?».

Резервное копирование через CIFS или NFS

Для создания резервных копий Senhasegura через CIFS или NFS:

1. Выберите Mounting a remote partition (via CIFS or NFS).
2. Нажмите на Add remote partition.
3. В окне Add remote partition, заполните поля Remote host и Remote path информацией о сервере, где senhasegura сохранит созданную резервную копию. Например,
   • Remote host: myserver.com или 10.10.1.5
   • Remote path: /files/backup/senhasegura
4. Выберите протокол:
   • Samba (CIFS): потребуется пользователь с правами записи в каталог в Remote path, иначе Senhasegura не сможет создать резервную копию. При необходимости добавьте имя домена, если этого требует ваш хост-сервер.
   • Network File System (NFS): при выборе NFS обязательно разрешите IP-адрес Senhasegura в конфигурациях Remote Host NFS, иначе Senhasegura не сможет создать резервную копию.

Вы можете использовать зарегистрированные учетные данные в качестве метода аутентификации. Для этого откройте Settings ➔ System parameters ➔ System parameters ➔ Application и выберите нужные учетные данные в поле Remote backup credential.

Пароли от удаленных хранилищ не должны содержать символы \, &, и !

Резервное копирование через rsync

Требования

• Наличие пользователя с разрешением на запуск rsync на целевом устройстве резервного копирования.
  
• Создать каталог для резервной копии, владельцем которого является пользователь rsync, например,
  /home/senhauser/backup_rsync
  
• Установить пакет sync на сервере резервного копирования.

Чтобы Senhasegura создавала резервные копии через rsync, необходимо настроить rsync и предоставить доступ к серверу резервного копирования с открытым ключом.

Резервное копирование rsync выполняется с аутентификацией с использованием SSH-ключа. Вам нужно будет настроить отдельного пользователя на вашем сервере и положить его открытый ключ в «authorized_keys».

Настройка резервного копирования через rsync 

Шаг 1 - Настройка резервного копирования системы Senhasegura 

1. Выберите Send to a remote Linux server (via RSYNC).
2. Добавьте User сервера резервного копирования, который будет использоваться Senhasegura.
3. Добавьте имя хоста или IP-адрес резервного сервера, например, myserver.com или 10.10.1.5.
4. Добавьте каталог Remote path чтобы сохранить резервное копирование. Например, “/files/backup/senhasegura".

Шаг 2 - Резервная копия учетных данных Senhasegura  

1. Откройте Orbit ➔ Settings ➔ Backup menu.
2. Включите резервное копирование системы и видео.
3. Настройте удаленный раздел с помощью rsync.
4. Введите имя пользователя, IP-адрес устройства и полный путь к созданной папке резервного копирования.

Шаг 3 - Копирование открытого ключа пользователя  

1. Войдите на главный узел Senhasegura, используя SSH, порт 59022, с пользователем mt4adm.
2. Соберите открытый ключ, этой командой    :

sudo cat /root/.ssh/id_rsa.pub

3. Скопируйте открытый ключ с вашего терминала.
4. Войдите на используемый сервер резервного копирования и добавьте открытый ключ в файл «authorized_keys» от пользователя, указанного в поле User во время настройки Senhasegura rsync.
5. Вставьте скопированный открытый SSH-ключ корневого пользователя главного экземпляра Senhasegura в файл authorized_keys целевого устройства.

vim  /home/rsync/.ssh/authorized_keys

Шаг 4 - Тестовое резервное копирование через rsync

1. Войдите на сервер Senhasegura, используя SSH, порт 59022, с пользователем mt4adm. 
2. Выполните следующую команду:

sudo orbit backup create

3. Вы получите подтверждение от rsync и информацию о расчетной продолжительности передачи данных.
4. Проверьте, находятся ли файлы теперь в Remote path на сервере резервного копирования.

Файл журнала резервного копирования

Чтобы проверить журнал резервного копирования:

1. Войдите на сервер Senhasegura, используя SSH, порт 59022, с пользователем mt4adm.
2. Запустите следующую команду:

tail -f /var/log/orbinibkp.log

Обновление версии

Важно!

Проверьте Changelog, чтобы найти исправления, новые функции, улучшения безопасности и удобства использования.

Обновление кластера
При обновлении senhasegura в кластере не переключайте узлы в автономные. Обновите их один за другим, начиная с основного узла. Работа кластера при этом не будет нарушена.
Несоблюдение порядка обновления может привести к поломке кластера.

Требования 

• Для обновления по сети из репозитория senhasegura разрешите узлам доступ к если вы выполняете онлайн-обновление
• Установите правильное время сервера
• Обязательно сделайте снимок виртуальной машины и резервную копию.

Создание снимка виртуальных машин

Снимки должны быть сделаны при выключенной виртуальной машины, чтобы обеспечить возможность возврата без нарушения целостности данных.

Создание снимка кластера
Соблюдайте следующий порядок отключения: начните с последнего узла и закончите ведущим.
Сделать снимок нужно для каждого узла, но строго по отдельности, чтобы не разрушить кластер:
 - отключите один узел
 - сделайте снимок
 - включите узел
 - подтвердите запуск
 - дождитесь ввода узла в работу
 - только теперь переходите к следующему узлу

1. Выключите экземпляр Senhasegura с помощью orbit:

sudo orbit shutdown

2. После выключения узла сделайте снимок средствами гипервизора.
3. Когда снимок будет сделан, снова включите узел senhasegura.
4. После создания снимков для всех узлов senhasegura, приступайте к обновлению.

Онлайн-обновление

1. Обновите платформу с помощью нашего официального зеркала, чтобы ваш экземпляр получил самую последнюю версию senhasegura.

2. Приведенные ниже команды обновят список пакетов, исполнимый файл orbit и платформу. Терминал отобразит длинный вывод журнала, который может занять несколько минут.

Не выполняйте команду «apt-get upgrade» вместо «orbit upgrade».
Если вы все-таки запустили эту команду, выполните «orbit upgrade», чтобы исправить ситуацию.

sudo apt-get update
sudo apt-get install orbit-cli
sudo orbit upgrade

3. Перезапустите узел, чтобы убедиться, что обновление прошло успешно.

sudo orbit shutdown --reboot

4. Подождите, пока узел завершит перезагрузку, и система будет готова для доступа через веб-интерфейс.

Не переходите к обновлению следующего узла в кластере, пока не убедитесь в том, что обновленный узел вернулся из перезагрузки и работает

Автономное обновление 

Если у senhasegura нет доступа в интернет, выполните следующие действия, чтобы запустить автономное обновление:

1. На другом сервере или рабочей станции загрузите пакет обновления по ссылке
https://repo:HpRh0BVMNVAq@repo.senhasegura.com/buster-se-update.sh
Например, командой:

wget https://repo:HpRh0BVMNVAq@repo.senhasegura.com/buster-se-update.sh

2. На сервере senhasegura создайте временную папку для обновления в каталоге /var/update/:

sudo install -d /var/offlineupdate -o mt4adm -g mt4adm

3. Загрузите файл обновления на сервер senhasegura в каталог /var/offlineupdate

4. После переноса закомментируйте все строки в файле resolv.conf, используя «#» перед каждой строкой, чтобы обновление не пыталось подключиться к интернету и запустить онлайн-обновление.

sudo nano /etc/resolv.conf

5. Предоставьте загруженному файлу права на выполнение с помощью приведенной ниже команды:

sudo chmod +x /var/offlineupdate/buster-se-update.sh

6.  Запустите утилиту screen, чтобы можно было вернуться к установке в случае разрыва подключения:

screen

6.  Запустите пакет с помощью следующей команды:

cd /var/offlineupdate/
sudo /bin/bash ./buster-se-update.sh

9.  Подтвердите согласие с условиями лицензии (EULA)

10. После окончания обновления вернитесь к файлу resolve.conf и удалите «#» из всех измененных до этого строк.

11. Перезагрузите машину с помощью следующей команды:

sudo orbit shutdown --reboot

12. После перезагрузки выполните следующую команду и подтвердите перезагрузку сервисов.

sudo orbit application init

13. Приложение обновлено. Чтобы проверить текущую версию, используйте команду ниже:

sudo orbit version

Контакты технической поддержки

В случае высокой загруженности специалистов техподдержки, приоритет будет отдан вопросам, инструкции для которых отсутствуют в этой базе знаний. Для поиска по базе знаний воспользуйтесь соответствующим полем в самом верху страницы.

В любой непонятной ситуации пишите на support@senha.ru