本帖最后由 nihongliang 于 2020-4-26 21:21 编辑
客户场景:桌面云+ITM+AC 需要针对研发的机器做代码外发审计并做告警通知管理人员
一.ITM的安装方法有多种,本次采用传统部署方式: 下载好ubuntu服务器版的iso镜像和itm_master.tar的安装包 Linux 服务器(Ubuntu)安装包,16.04server版的 大家自行百度
ITM 安装包
二.ubuntu环境准备 1.Ubuntu系统安装这里就不再介绍,直接参考云盘里面的安装文档
2.Ubuntu安装docker服务(这里推荐apt方式,不要在搭建环境上面占用太多时间,因为后面很有多未知问题在等你)
root@ITM:~#apt install docker.io --安装docker服务
root@ITM:~#service docker status --检查docker服务状态
三.ITM安装 1.安装ITM镜像包 上传ITM包至/root目录
root@ITM:~# docker load -i itm_master.tar --docker加载镜像
root@ITM:~# docker run -d --network host --restart=always --privileged=true --name=master -v /data:/data -v /ndlp/var/log:/ndlp/var/log/ -v /ndlp/etc/config:/ndlp/etc/config itm_master:v1 /opt/deploy.sh /data/disk --启动docker容器(这里命令不能直接粘贴)
root@ITM:~# docker ps -a --查看当前的运行的docker 容器 CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 1e45826cc91c itm_master:v1 "/opt/deploy.sh /dat…" 1 hours ago Up 1 hours master
此时itm_master就可以通过控制台 https://ip 打开,默认管理员和密码 admin/admin
2.针对于单机master场景的一些修改
查看当前ITM容器的ID
root@ITM:~# docker exec -it 1e45826cc91c /bin/bash ---进入容器
root@ITM:~# vim /ndlp/store/ngac/bin/dsl/dc/dc.js --修改replica (注意这里一定要先进入容器,不然打开是个空白文件)
root@ITM:/# vim /ndlp/store/ngac/bin/dsl/index/action.js --修改replica 此时ITM部署完毕,接下来就是和上网行为管理的联动
四.防泄密审计配置
1.ITM添加同步策略 系统设置-同步策略-同步策略
2.AC添加同步策略
3.行为管理开启准入并打开所有审计(这步骤忽略不计,参考AC正常配置)
4.ITM自定义外发规则
规则设置-规则定义-自定义外发规则(适用用户等配置类似AC的配置)
邮件告警: 邮件服务器配置参考正常的邮件客户端配置
查看触发规则事件:
用户上传的是压缩包或者其他形式的文件也可以直接被解压出来
下载附件查看:
总结以及建议: 审计部分配置需和AC联动,思路大体上一致,主要是ITM环境搭建比较费时间,建议后面直接做一个ova的镜像包弄好(ps:前两天刚在bbs看到一个哥们在吐槽ITM安装,上传了几十个脚本,敲了几十行命令:奸笑
当然这里只是测试项目部署了master,实施项目建议部署master,worker和dap 分布式计算框架应该更加繁琐:石化:。
|