- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath SSMS 服务器安全监测系统
软件安装指导(容器化部署)
Copyright © 2025技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
(1) 目标服务器推荐安装配置要求
表1-1 硬件要求
|
类型 |
CPU(核) |
内存(GB) |
硬盘(GB) |
安装应用 |
|
A |
8 |
32 |
1024 |
SSMS主服务 |
|
B |
8 |
16 |
512 |
事件采集服务 |
(2) 容器化部署仅支持两台部署方案(即部署一台SSMS主服务端,一台事件采集服务,可使用事件采集功能)。
(3) 两台主机部署安装时,除配置要求不同外,两台主机都需要执行服务器检查工作。
(4) 目标服务器预先安装好操作系统,此处以中标麒麟标准7.0为例,容器化部署具体支持的系统列表以章节_容器化部署支持操作系统列表为准。
(5) 安装包为H3C SecPath 服务器安全监测系统容器化安装包。
下文中A类主机均代表SSMS主服务器,B类主机均代表事件采集服务器。
(1) 使用火狐浏览器登录到VMware ESXi 6.5管理平台。
图2-1 登录VMware ESXi 6.5管理平台
(2) 进入[主页/存储/databases1],单击页面上的<数据存储浏览器>,并点击“浏览数据存储”。
图2-2 配置存储器
(3) 点击“上传”并选择中标麒麟标准7.0arm镜像文件(CentOS-7-x86_64-DVD-1804.iso)上传到databases1上。
图2-3 上传镜像
右上角显示上传时进度条,可查看上传进度。
图2-4 上传镜像进度条
(1) 在VMware ESXi 6.5主页上,单击<创建/注册虚拟机>按钮,自定义选择创建类型、选择名称和客户操作系统、选择存储和自定义设置。如下图所示。
图2-5 创建/注册虚拟机
图2-6 选择创建类型
图2-7 选择名称和客户端操作系统
图2-8 选择存储
(2) 自定义设置配置,点击“添加其他设备”选择“CD/DVD驱动器”,并通过点击“数据存储ISO文件”选择之前导入databases1中的服务器安全系统ISO文件(CentOS-7-x86_64-DVD-1804.iso)。
图2-9 添加CD/DVD驱动器
图2-10 选择镜像文件
(3) 根据服务器安全系统配置要求,设置如下图所示:
图2-11 自定义设置硬件配置
(4) 单击<完成>之后,虚拟机配置完毕。
图2-12 完成向导
图2-13 完成虚拟机创建
(5) 单击<打开电源>按钮,进入安装系统界面。
图2-14 启动虚拟机
虚拟机设置完成后即可进行下一步系统安装配置,请继续查看_安装系统。
(1) 登录虚拟化管理平台。
图3-1 登录CAS管理平台
(2) 进入[云资源/cvknode/cvknode],单击页面上方的<存储>。
图3-2 配置存储
(3) 把操作系统ISO镜像文件上传到defaultpool。
图3-3 上传镜像
图3-4 查看镜像
(1) 单击<增加虚拟机>按钮,<基本信息>页面设置如下图所示。
图3-5 增加虚拟机
(2) <硬件信息>的推荐最低配置要求,如下图所示。CPU需要8核以上。
图3-6 配置CPU
(3) 内存大小需要32G以上。
图3-7 配置内存
(4) 网卡选择一块
图3-8 配置网卡
(5) 单块硬盘大小不低于1024G。
图3-9 配置硬盘
(6) 点击<光驱>选择镜像文件
图3-10 选择光驱
(7) 单击<完成>之后,虚拟机配置完毕。
图3-11 完成虚拟机配置
(8) 选择服务器安全,单击修改虚拟机,在概要/高级设置中将系统时钟修改为本地时钟。
图3-12 修改系统时钟
(9) 单击<启动>按钮,进入控制台界面。
图3-13 启动系统
虚拟机设置完成后即可进行下一步系统安装配置,请继续查看_安装系统_2章节。
(1) 在安装系统界面下,按硬盘类型选择需要安装的系统类型,一般情况下,选择“Install NeoKylin”。选择会自动安装系统,直到可登录系统。
图4-1 安装系统
图4-2 选择语言
(2) 在安装信息摘要界面下,系统>安装位置,默认使用自动分区,此时需要手动划分磁盘空间。建议给/boot目录分配200M、/swap目录分配8192M,剩余空间分配给/目录。
图4-3 磁盘划分
图4-4 选择我要配置分区后点击完成
图4-5 添加/挂载点
图4-6 点击完成
图4-7 配置root密码
(3) 等候安装完毕后reboot系统,输入账号、密码,登录系统。
图4-8 安装完成
(1) 登录系统后,设置静态主机名。
hostnamectl set-hostname --static staticName #设置静态主机名
eg:hostnamectl set-hostname --static ssms
图4-9 配置静态主机名
(1) 登录系统后,设置服务端网络参数。输入命令vi /etc/sysconfig/network-scripts/ifcfg-eth0,输入i进入编辑模式,配置网卡静态IP。
注:eth0为该CAS虚拟机的网卡名称,VMware虚拟机的网卡名可能为ensXXX,请确认自己网卡名称之后修改配置文件
图4-10 配置静态IP
点击Esc退出编辑模式,并输入:x按enter保存文件后,输入命令service network restart重启网卡,并查看配置的静态IP已生效。
图4-11 重启网卡
系统默认开启防火墙且拒绝所有端口访问,防火墙开启状态下会出现SSMS安装失败和浏览器无法正常访问web界面的情况,所以需要关闭防火墙,相关命令如下:
systemctl stop firewalld.service #停止防火墙
systemctl disable firewalld.service #禁止防火墙开机启动
图4-12 关闭防火墙
在部署服务端前,需要对环境进行检查。所有服务器均需要进行如下的环境检查步骤。
(1)sudoer文件校验
对/etc/sudoers 文件进行检查,需要注释 Defaults requiretty选项。
执行:cat /etc/sudoers |grep requiretty
如下图显示则可以忽略:
图4-13 sudoer文件校验-1
如下图显示则需要手动注释:
图4-14 sudoer文件校验-2
则需要执行: chmod 755 /etc/sudoers && vi /etc/sudoers,注释然后保存退出。
如下图:
图4-15 sudoer文件校验-3
(2)检查hostname不可以是纯数字或localhost
执行:hostname
图4-16 hostname检查
如果显示localhost或者纯数字,则执行: hostnamectl set-hostname master
(3)检查/etc/ssh/sshd_config 文件中'RSAAuthentication yes' 'PubkeyAuthentication yes' 两个参数项保证可以使用密钥登录。若无该参数、该参数被注释或者参数值为yes,无需修改。否则需修改完成后重启sshd服务。
(4)执行cat /etc/selinux/config 命令查看是否是SELINUX=disabled配置
执行: sed -i 's/SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config && setenforce 0
图4-17 SELINUX参数校验
(4)umask校验
执行umask命令查看是否是0022,不是请执行umask 0022命令
图4-18 umask校验
(5)对相关的机器进行添加免密操作
无论是单台部署还是双台部署,所有服务器上都需要进行添加免密操作,保证相关服务器能免密登录到每一台服务器上(包括自己)。
1. 执行:ssh-keygen
2. 执行:ssh-copy-id ${nodeIp}
# ${nodeIp}为需要安装部署的每一台主机(包括本机),双台部署情况下两个服务器地址都需要操作
3. 验证免密登录
验证每一台服务器到所有服务器都可以免密登录
(6)检查对应服务器的时间
使用date命令查看当前服务器时间,如差异较大,可参考date -s “2024-12-10 12:00:00”设定服务器时间,需要保障服务器之间的时差在一分钟以内。
· 登录A类服务器,以下操作均在A类服务器上操作。
创建/data目录mkdir /data
· 上传k3s安装包titan-k3s-ansible-v1.24.17+k3s1-arm64-h3c-1.24.17-20240826110835.tar.gz到/data目录下(注意使用的安装包要对应系统架构,以实际安装包名称为准,此处以arm架构安装包举例)
· 上传SecPathSSMS-IMW310-E6405_arm.tar.gz安装包到/data目录下
· 上传brand.zip到/data目录下
· 上传brand.sh到/data目录下
如图,执行:ip route命令查看如果没有default via的话,需要执行route add default gw 网关地址(要将ip地址的末尾换成1, 例如10.106.108.1)
· 进入到/data目录下
· 执行tar zxvf titan-k3s-ansible*解压安装包
解压后产生titan-k3s-ansible目录
· 进入到/data/titan-k3s-ansible/titan-install-docker目录下
· 配置host.ini文件,其中的ip为对应服务器的ip,配置如下
图5-1 两台机器配置示例
# master为当前主服务端ip,node为事件采集服务器ip
· 执行bash init_k3s.sh install进行集群安装
安装完成示意图:
· 安装完毕后检查
执行kubectl get pod -A命令查看3个组件都为RUNNING状态即安装成功
排错:
如果出现无法访问另外一台机器,如下截图
先执行systemctl restart docker ,然后重新执行k3s的安装命令bash init_k3s.sh all
· 进入到/data目录下并解压SecPathSSMS-IMW310-E6405_container_arm.tar.gz 安装包
命令:openssl aes-128-cbc -d -in ${安装包名称} -pass pass:${密码} -md md5 | tar -xzvf -
# ${安装包名称}是当前安装包名称:SecPathSSMS-IMW310-E6405_container_arm.tar.gz
# ${密码}是解压密码:在对应安装包所在文件夹下passwd.txt 中获取
解压后生成3.4.1.58-h3c-20240902104630目录
· 上传规则包: titan-rules-h3c-aarch64-*.tar到解压目录3.4.1.58-h3c*
· 执行cd 3.4.1.58-h3c* && sh titan-k8s.sh load_image命令进行镜像导入
· 进入3.4.1.58-h3c*目录配置titan-env.yml配置文件
图5-1 titan-env.yml配置示例
· 配置完毕后执行./titan-k8s.sh install进行安装
执行完后会执行kubectl get po -n qtsa查看pod状态,等待titan-deploy-0状态为Running
· 执行kubectl -n qtsa exec -i titan-deploy-0 -- tail -f /logs/install.log查阅安装日志
安装中日志示例:
安装完成日志示例:
· 执行kubectl get po -n qtsa命令查看pod状态,若除了titan-connect-agent的其它pod状态都为RUNNING代表安装成功
图5-2 Pod状态
图5-3
· 安装完毕后执行kubectl -n qtsa exec -i titan-deploy-0 -- cat /logs/register.log获取用户名和密码
· 获取密码后请妥善保存,及时登录系统修改默认密码,register.log文件会在1天之后删除
· 在浏览器的网址栏输⼊“https://ServerIP:6110 进入patrol管理界面
· 进入系统授权界面获取设备信息
图5-4 授权业务页
在新华三官网申请得到license激活文件后,登录系统授权界面将授权文件上传。
· 在浏览器的网址栏输⼊“https://ServerIP:6110 进入patrol管理界面
· 进入规则导入界面。
· 在安装包内获取最新的规则文件
文件路径:规则包/全量规则(线上)/
· 点击选择文件,选择规则文件进行上传并进行规则更新
· 在浏览器的网址栏输⼊“ServerIP:80进入H3C SecPath 服务器安全监测系统登录页。
· 在浏览器的网址栏输⼊“ServerIP:81进入用户管理Web平台。
· 在浏览器的网址栏输⼊“https://ServerIP:6110 进入patrol管理界面。
默认账号密码请参考<_Step 3 获取帐号密码>。
容器化部署支持卸载服务端,在部署后如有问题需要卸载服务端,请参考下列步骤:
· 1、进入/data/3.4.1.58-h3c-2024090210463目录
执行:./titan-k8s.sh uninstall
· 2、删除挂载目录 (每台服务器均需要执行)
rm -rf /data/{titan-container,titan-logs,titan-logs-all}
· 进入/data/titan-k3s-ansible/titan-install-docker目录
执行:bash ./init_k3s.sh uninstall
|
部署方式 |
操作系统 |
系统版本 |
Cpu架构 |
Os详细信息 |
|
容器化部署
|
Centos |
7 |
X86-64 |
Operating System: CentOS Linux 7 (Core) |
|
Centos |
8 |
X86-64 |
Operating System: Rocky Linux 8.4 (Green Obsidian) |
|
|
Debian |
9 |
x86-64 |
Operating System: Debian GNU/Linux 9 (stretch) |
|
|
Ubuntu |
20 |
x86-64 |
Operating System: Ubuntu 20.04.3 LTS |
|
|
银河麒麟 |
V10 |
arm64 |
Operating System: Kylin Linux Advanced Server V10 (Sword) |
|
|
银河麒麟 |
V10 |
arm64 |
Operating System: Kylin Linux Advanced Server V10 (Tercel) |
|
|
银河麒麟 |
V10 |
x86_64 |
Operating System:Kylin Linux Advanced Server V10 (Sword) Kernel: Linux 4.19.90-24.4.v2101.ky10.x86_64 |
|
|
中标麒麟 |
V7 |
|
Operating System: NeoKylin Linux Advanced Server V7Update6
(Chromium) |
|
|
优麒麟 |
Ubuntu Kylin 20.04 LTS Pro |
|
|
|
|
华为欧拉 |
OpenEuler 22.03 LTS |
|
|
|
|
华为欧拉 |
EulerOS SP1-SP5 |
|
|
|
|
华为欧拉 |
EulerOS SP3/SP8/SP9 |
x86-64 |
Operating System: eulerosv2r9 Kernel:4.18.0-147.5.1.6.h638.eulerosv2r9.x86_64 |
|
|
阿里龙蜥 |
Anolis OS 8.2 QU2 |
x86-64 |
Kernel:4.18.0-193.60.2.an8_2.x86_64 |
|
|
统信 |
UOS V20 1040d 服务器版 |
x86-64 |
Operating System: UnionTech OS Server 20 |
|
|
RockyLinux |
RockyLinux 8 |
x86_64/arm |
|
|
|
RockyLinux |
RockyLinux 9 |
x86_64/arm |
|
|
|
BCLinux |
BigCloud Enterprise Linux For Euler 21.10 LTS |
x86_64/arm |
|
|
|
Ctyunos |
ctyunos-2 |
x86_64 |
Operating System: ctyunos 2.0.1 |
支持
