Interface de linha de comando Orbit
Introdução
Para facilitar a administração do sistema operacional que hospeda o senhasegura , a integração com serviços básicos de rede e até mesmo atualiza os binários que compõem toda a arquitetura do sistema, a partir da versão 3.2 do senhasegura o administrador poderá utilizar a ferramenta de linha de comando orbit que centraliza as principais operações de manutenção e configuração da plataforma.
Estas operações necessitam de elevação de privilégio. Portanto apenas o usuário root e o mt4adm tem permissão de uso do binário.
Símbolos usados neste cookbook
Este livro usa os seguintes símbolos para destacar informações que devem ser levadas em consideração para o melhor uso de senhasegura :
Info - Informações úteis que podem tornar o uso da solução mais dinâmico.
Caution - Ações e itens que não podem ser ignorados.
commands: Dados que devem ser inseridos da mesma forma como descrito neste livro.- URLs : Caminhos para acessar páginas da web.
<KEYS>: Caminhos de teclado que serão usados para realizar ações.
Comandos disponíveis
O comando orbit se executado sem nenhuma instrução irá exibir sua sintaxe padrão. Vários módulos estão disponíveis para uso, e cada um destes módulos irá atuar em diferentes serviços ou intragrações do senhasegura .
Caso você esteja em uma arquitetura de cluster, é importante saber que as ações realizadas em uma instância não são refletidas em todas as outras instâncias. Para os comandos que podem infligir no funcionamento do cluster, é necessário que você execute manualmente os comandos em cada uma das instâncias.
Os comandos abaixo podem reiniciar serviços essenciais para o funcionamento da aplicação gerando uma indisponibilidade momentânea. Configurações inválidas podem ocasionar indisponibilidades irreversíveis.
Você sempre será alertado da possibilidade de indisponibilidade e questionado se deseja prosseguir com a execução dos comandos.
Caso você tente executar sem elevação, você receberá uma mensagem de alerta.
mt4adm@vmdf-giskard:~$ orbit
This program must be run with root permissions!
Com a elevação de privilégio você verá os módulos disponíveis. O mesmo resultado pode ser obtido pelo comando 'orbit --help'.
mt4adm@vmdf-giskard:~$ orbit
Usage: orbit <command>
Orbit is the MT4:senhasegura cli created to provide tools for system
configuration and administrative routines.
Flags:
--help Show context-sensitive help.
Commands:
application Application settings tools.
network Network settings tools
hostname Change the server hostname. Changing the hostname you
will need reboot of the server.
dns The Domain Name System (DNS) management tools
ntp The Network Time Protocol (NTP) management tools
tuning Application tuning configuration
upgrade Upgrade the system by installing/upgrading packages
backup Application backup settings
cluster High Availability and Disaster Recovery settings tools
webssl Webserver SSL certificates management tools
locale Language and locale settings
partition File system partitions management tools
disk Disks management tools
zabbix Zabbix client configuration
proxy Application access proxy settings
fajita Fajita access proxy management tools
snmp Simple Network Management Protocol (SNMP) management
tools
firewall System Firewall management tools
shutdown Power-off or reboot the machine safely.
service Send commands to the systemd manager
security System security management tools
version Print version information and quit
Run "orbit <command> --help" for more information on a command.
Você pode exibir a ajuda de cada módulo utilizando a sintaxe orbit <command> –help onde <command> deve ser substituído pelo módulo desejado. Exemplo: orbit dns –help.
Vamos agora apresentar módulo a módulo com suas funcionalidades e exemplos.
Obtendo a versão da plataforma
Você pode obter a versão da plataforma senhasegura utilizando o comando orbit version. É importante que todos membros de um cluster estejam na mesma versão. E a informação de versão deve ser encaminhada na solicitação de suporte.
mt4adm@vmdf-giskard:~$ sudo orbit version
Orbit Console - MT4:senhasegura group
Version 1.1.0-28
Application
Orbini 5.10.9.3
senhasegura 3.2.0.1
Gerenciando a Aplicação
Você pode gerenciar o estado da aplicação do senhasegura desta instância com o
comando orbit application.
mt4adm@vmdf-giskard:~$ sudo orbit application --help
Usage: orbit application [<command>]
Application settings tools.
Arguments:
[<command>] Control the application services status:
[start|stop|restart|status|master|version]
Flags:
--help Show context-sensitive help.
--version Show the application components versions
--force Force the command execution, never prompt
--show
start: Ativa a instância para uso dos usuários.
stop: Inativa a instância para uso dos usuários.
restart: Reinicia os serviços utilizados para distribuir a aplicação Web, com exceção do banco de dados, sistemas proxy e serviços iniciados pelo Cron.
status: Exibe o status desta instância.
master: Define esta instância como Primária em um cenário de cluster.
version: Exibe a versão instalada da plataforma Orbini e senhasegura .
Status da aplicação
O comando orbit application status apresenta o status de cada função primária da instância. Sendo:
Application: Status da instância quanto sua ativação. "Active" para disponível ao uso dos usuários e "Inactive" para indisponível ao uso dos usuários;
Replication: Status da replicação/cluster desta instância. "Active" para indicar que é membro de cluster e "Inactive" para indicar que não faz parte de um cluster;
Instance: Papel da instância no cluster. "Primary" para instância principal, "Secondary" para instância de apoio;
mt4adm@vmdf-giskard:~$ sudo orbit application status
Application: Active
Replication: Inactive
Instance: Primary
Inativando uso da instância
O comando orbit application stop inativa a aplicação para uso dos usuários. Essa ação não afeta a ativação de licença e nem a execução dos robôs na instância.
Essa ação é equivalente a ativação da instância no menu Orbit ➔ Settings ➔ Application.
mt4adm@vmdf-giskard:~$ sudo orbit application stop
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
Application: Inactive
Replication: Inactive
Instance: Primary
Ativando o uso da instância
O comando orbit application start ativa a aplicação para uso dos usuários. Essa ação não afeta a ativação de licença e nem a execução dos robôs na instância.
Essa ação é equivalente a ativação da instância no menu Orbit ➔ Settings ➔ Application.
mt4adm@vmdf-giskard:~$ sudo orbit application start
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
Application: Active
Replication: Inactive
Instance: Primary
Definindo a instância como primária
O comando orbit application master configura a instância como instância Primária. Caso a instância estiver inativa, será automáticamente ativada e elevada a Primária.
A instância Primária é responsável pela execução de serviços únicos que não são executados nas demais instâncias do Cluster.
mt4adm@vmdf-giskard:~$ sudo orbit application master
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
Application: Active
Replication: Inactive
Instance: Primary
Reiniciando os serviços da aplicação
O comando orbit application restart reinicia os serviços utilizados para distribuir a aplicação Web, com exceção do banco de dados, sistemas proxy e serviços iniciados pelo Cron.
Basicamente reinicia apenas os serviços utilizados pelo Webserver.
mt4adm@vmdf-giskard:/home/mt4adm## sudo orbit application restart
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y█
Application: Active
Replication: Inactive
Instance: Primary
Obtendo a versão instalada
O comando orbit application version apresenta a versão da plataforma senhasegura e framework Orbini. Seu funcionamento é semelhante ao comando orbit version, descrito anteriormente.
mt4adm@vmdf-giskard:~$ sudo orbit application version
Applications
Orbini 5.10.13.27
senhasegura 3.2.0.1
Configurando interfaces de rede
Configure a interface de rede primária do senhasegura que é utilizada para alcançar a interface Web, Proxies e Webservices.
Esta funcionalidade substitui a necessidade de login localhost com o usuário 'orbit'.
Ao configurar a interface de rede será necessário reiniciar o servidor para que as configurações sejam aplicadas.
mt4adm@vmdf-giskard:~$ sudo orbit network --help
Usage: orbit network
Network settings tools
Flags:
--help Show context-sensitive help.
-i, --interface=STRING
-a, --address=STRING
-m, --netmask=STRING
-g, --gateway=STRING
--reboot Reboot the machine
--force Force the command execution, never prompt
--show
Listando configuração atual
O comando orbit network –show apresenta as configurações de rede que estão aplicadas no momento.
mt4adm@vmdf-giskard:~$ sudo orbit network --show
Networking interface status
============================================================================
Interface eth0
MAC Address = 00:15:5d:3e:73:1c
MTU = 1500
Type = ether
IPv4
Address = 172.17.182.204
Broadcast = 172.17.182.207
Gateway =
============================================================================
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Ifac
0.0.0.0 172.17.182.193 0.0.0.0 UG 0 0 0 eth0
172.17.182.192 0.0.0.0 255.255.255.240 U 0 0 0 eth0
============================================================================
Sem os argumentos o usuário é apresentado a uma sequência de campos para configurar a interface de rede desejada.
Neste exemplo mostramos como a interface primária é configurada com DHCP.
mt4adm@vmdf-giskard:~$ sudo orbit network
Use the arrow keys to navigate: ↓ ↑ → ←
? Choose an interface to configure:
▸ eth0
? Network settings:
static
▸ dhcp
? Are you sure you want to proceed? [y/N] y
Done!
No errors reported
Neste segundo exemplo mostramos como é configurado a interface com IP fixo.
mt4adm@vmdf-giskard:~$ sudo orbit network
Use the arrow keys to navigate: ↓ ↑ → ←
? Choose an interface to configure:
▸ eth0
? Network settings:
▸ static
dhcp
✔ IP Address: 172.17.182.204
Netmask: 255.255.255.240
Gateway: 172.17.182.193
? Are you sure you want to proceed? [y/N]
Done!
No errors reported
Você pode ainda fornecer os detalhes da configuração como argumentos na linha de comando. Dessa forma a interação é reduzida.
mt4adm@vmdf-giskard:~$ sudo orbit network
--interface=eth0
--address=172.17.182.204
--netmask=255.255.255.240
--gateway=172.17.182.193
Use the arrow keys to navigate: ↓ ↑ → ←
? Choose an interface to configure:
▸ eth0
? Network settings:
▸ static
dhcp
? Are you sure you want to proceed? [y/N]
Done!
No errors reported
Reiniciando o servidor para aplicar configurações
Utilize o comando orbit network –reboot para que o servidor seja imediatamente reiniciado após a configuração de rede ser inserida. Utilize com cautela.
mt4adm@vmdf-giskard:~$ sudo orbit network --reboot
Use the arrow keys to navigate: ↓ ↑ → ←
? Choose an interface to configure:
▸ eth0
? Network settings:
static
▸ dhcp
? Are you sure you want to proceed? [y/N] y
Done!
No errors reported
Stopping database service...
Definições de hostname
O comando orbit hostname permite trabalhar o hostname do sistema operacional desta instância do senhasegura .
mt4adm@vmdf-giskard:~$ sudo orbit hostname --help
Usage: orbit hostname [<hostname>]
Change the server hostname. Changing the hostname you will need reboot
of the server.
Arguments:
[<hostname>] Setting the server hostname
Flags:
--help Show context-sensitive help.
--reboot Reboot the machine
--force Force the command execution, never prompt
--show
Você pode determinar um novo hostname fornecendo o novo hostname como último argumento, conforme descrito na ajuda do comando.
mt4adm@vmdf-giskard:~$ sudo orbit hostname vmdf-giskard
Are you sure you want to proceed: y
Done!
No errors reported
Definições de DNS
Configure os servidores DNS que esta instância irá consultar através do comando orbit dns.
mt4adm@vmdf-giskard:~$ sudo orbit dns --help
Usage: orbit dns
The Domain Name System (DNS) management tools
Flags:
--help Show context-sensitive help.
-s, --servers=SERVERS,... Domain servers list
--search=SEARCH,... The domain search list
-d, --domain=STRING Domain name
--force Force the command execution, never prompt
--show
Você pode listar quais são os servidores ativos através do argumento –show.
mt4adm@vmdf-giskard:~$ sudo orbit dns --show
DNS configuration
DNS Servers:
- 172.17.182.193
Domain: mshome.net
Search:
- mshome.net
Para configurar a cadeia de servidores DNS você pode utilizar os demais argumentos. Os servidores DNS serão aplicados imediatamente.
mt4adm@vmdf-giskard:~$ sudo orbit dns
--servers=172.17.182.10,172.17.182.11
--search=mshome.net
--domain=mshome.net
Are you sure you want to proceed: y
Done!
No errors reported
Servidores NTP
Configure quais servidores NTP a instância deve consultar para manter o horário sincronizado, através do comando orbit ntp. Essa configuração será aplicada imediatamente.
A alteração de servidores NTP podem afetar o uso de tokens OTP.
mt4adm@vmdf-giskard:~$ sudo orbit ntp --help
Usage: orbit ntp
The Network Time Protocol (NTP) management tools
Flags:
--help Show context-sensitive help.
-s, --servers=SERVERS,... NTP servers list
-l, --listen-interface=STRING NTP listen interface
--force Force the command execution, never prompt
--show
Para listar a configuração ativa, basta utilizar o argumento –show.
mt4adm@vmdf-giskard:~$ sudo orbit ntp --show
NTP Status
Servers
a.ntp.br
b.ntp.br
Listen interface eth0
remote refid st t when poll reach delay offset jitter
==========================================================================
*a.ntp.br 200.160.7.186 2 u 34 128 377 5.196 -0.647 0.585
+b.ntp.br 200.160.7.186 2 u 2 128 377 47.750 -3.436 8.249
Tue 09 Jun 2020 04:49:55 PM -03
Para configurar novos servidores que irão substituir a configuração atual, utilize os demais argumentos conforme o exemplo.
mt4adm@vmdf-giskard:~$ sudo orbit ntp
--servers=a.ntp.br,b.ntp.br --listen-interface=eth0
Are you sure you want to proceed: y
Done!
No errors reported
Tuning
O tuning do ambiente é realizado alterando propriedades de ambiente do webserver, banco de dados e engine do PHP. Desta forma, toda arquitetura de serviço irá trabalhar de maneira mais adequada aos recursos de hardware disponíveis nesta instância.
As configurações de tuning deve ser realizadas sempre ao término de uma implantação de nova instância, ou quando há um redimensionamento de hardware que possa afetar a CPU e memória RAM do servidor.
Esta mesma configuração pode ser realizada através do menu Orbit ➔ Server ➔ System tuning.
Se você não tiver conhecimento das variáveis tratadas por este comando, recomendamos que você utilize o tuning através da interface Web do Orbit. Através da inferface Web o próprio Orbit irá calcular o melhor cenário de uso do servidor.
Este comando irá reiniciar os serviços de Webserver, Banco de dados e engine do PHP. A configuração indevida de valores pode interromper o funcionamento.
mt4adm@vmdf-giskard:~$ sudo orbit tuning --help
Usage: orbit tuning
Application tuning configuration
Flags:
--help Show context-sensitive help.
--db-max-conn=INT The maximum number of simultaneous client
connections
--db-buffer-pool=INT DB buffer pool size (MB)
--db-thread=INT Number of threads used to apply write sets
when in cluster.
--ws-workers=INT The number of worker processes
--ws-workers-children=INT The maximum number of connections that each
worker process can handle simultaneously
--force Force the command execution, never prompt
--show
Por padrão o senhasegura é instalado com um perfil de tuning para duas CPUs e 4G RAM. Você pode listar os valores do tuning aplicado com o argumento –show.
mt4adm@vmdf-giskard:~$ sudo orbit tuning --show
DB Connections: 750
DB Buffer Pool Size: 768M
Number of threads: 8
Worker processes: 2
Process connections: 75
Você pode definir todas as variáveis através dos demais argumentos.
mt4adm@vmdf-giskard:~$ sudo orbit tuning
--db-max-conn=750
--db-buffer-pool=768
--db-thread=8
--ws-workers=2
--ws-workers-children=75
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
Done!
No errors reported
DB Connections: 750
DB Buffer Pool Size: 768M
Number of threads: 8
Worker processes: 2
Process connections: 75
Você pode inclusive alterar apenas alguns parâmetros se necessário. Mas independente de qual o parâmetro afetado, todos serviços serão reiniciados.
mt4adm@vmdf-giskard:~$ sudo orbit tuning --db-thread=4
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
Done!
No errors reported
DB Connections: 750
DB Buffer Pool Size: 768M
Number of threads: 4
Worker processes: 2
Process connections: 75
Atualizando a plataforma
Atrávés do comando orbit upgrade você poderá atualizar todos os pacotes da plataforma senhasegura . Isso inclui os pacotes do sistema operacional, proxy, aplicação web e configurações de segurança.
Valide que a instância tenha acesso aos servidores de mirror oficiais do senhasegura .
Preparando a atualização
Execute o comando sudo apt-get update para atualizar a lista de pacotes disponíveis no mirror oficial.
Utilize os argumentos –show ou –check para listar quais pacotes serão instalados.
mt4adm@vmdf-giskard:~$ sudo orbit upgrade --check
Listing...
fajita-server-senhasegura-image/updates-buster 1.0.9-10~buster amd64
[upgradable from: 1.0.9-9~buster]
orbini/buster 5.10.13-28~buster all [upgradable from: 5.10.13-27~buster]
orbit-cli/buster 1.1.0-22~buster all [upgradable from: 1.1.0-21~buster]
senhasegura-app/buster 3.1.11-8~buster all [upgradable from: 3.1.11-7~buster]
xrdp-senhasegura-image/updates-buster 1.0.9-10~buster amd64
[upgradable from: 1.0.9-9~buster]
Atualizando a instância
Para atualizar a instância basta executar o comando orbit upgrade. O Orbit irá inicialmente validar a versão do binário orbit, e caso aja a necessidade de atualiza-lo antes de iniciar as demais atualizações, será apresentada uma mensagem contendo as instruções de atualização.
mt4adm@vmdf-giskard:~$ sudo orbit upgrade
A new version of your system will be installed.
Are you sure you want to proceed: y
Checking for new versions. Please wait...
A new version of orbit-cli is available.
Run apt-get install orbit-cli before continue.
Assim que o binário orbit estiver atualizado, execute novamente o comando orbit upgrade para atualizar todas demais atualizações.
Consulte o Cookbook Primeira Experiencia para entender como fazer a atualização offline.
O processo de atualização irá apresentar diversas mensagens relacionadas as tarefas que estão sendo executadas, e reiniciará os serviços diversas vezes durante o processo. Caso não seja possível realizar a atualização, uma mensagem de erro será apresentada ao final. Caso contrário, uma mensagem de sucesso é apresentada.
Sempre execute o comando orbit version para validar a versão que foi instalada após o processo de atualização.
mt4adm@vmdf-giskard:~$ sudo orbit upgrade
A new version of your system will be installed.
Are you sure you want to proceed: y█
Checking for new versions. Please wait...
...
[2020-06-17 16:17:18]: Checking firewall...
Firewall normalized
No errors reported
[2020-06-17 16:17:29]: Restarting robots...
Done!
No errors reported
Duration: 4m3.881937248s
Executando e restaurando backup
Através do módulo backup você pode executar novos backups e restaurar um backup específico.
Os arquivos de backup do senhasegura são criptografados. A restauração de um backup pode causar danos em uma estrutura de cluster e até mesmo impedir o acesso a informações privilegiadas. Caso haja a necessidade de restaurar um backup, entre em contato com nossa equipe de suporte para que possamos apoiar essa atividade crítica.
mt4adm@vmdf-giskard:~$ sudo orbit backup --help
Usage: orbit backup <command>
Application backup settings
Arguments:
<command> Perform or Recovery data backup: [create|recover]
Flags:
--help Show context-sensitive help.
--file=STRING Backup file for recovery
--database="senhasegura" The database name to recovery backup.
Default: senhasegura
--force Force the command execution, never prompt
--show
Criando um backup
O senhasegura realizará o backup de duas bases de dados geridas pelo MariaDB1.
mt4: Banco de dados com informações da plataforma Orbini
senhasegura: Banco de dados com informações da plataforma senhasegura
Execute o comando orbit backup create para que executar um backup em ambas base de dados. Algumas informações foram suprimidas deste log. Mas você verá onde o backup é executado e para onde ele é copiado ao término do processo.
mt4adm@vmdf-giskard:~$ sudo orbit backup create
Are you sure you want to perform a data backup now: y
Orbini Backup 1.0.3.0
[2020-06-09 20:28:57]: BACKUP INFO Utilizando arquivo de configuracao ******
[2020-06-09 20:28:57]: senhasegura DB INFO Iniciando backup mysql
para arquivo
[2020-06-09 20:28:57]: senhasegura DB INFO Comando dump: *** mt4
[2020-06-09 20:28:58]: senhasegura DB INFO Iniciando backup mysql
para arquivo
[2020-06-09 20:28:58]: senhasegura DB INFO Comando dump: *** senhasegura
[2020-06-09 20:29:00]: senhasegura DB INFO Backup MySQL efetuado com sucesso
[2020-06-09 20:29:00]: senhasegura DB INFO Limpando arquivos de
backup antigos
[2020-06-09 20:29:00]: senhasegura FILE INFO Iniciando backup arquivos por
rsync do diretorio ******
[2020-06-09 20:29:00]: senhasegura FILE INFO Comando: rsync -a ****** ******
[2020-06-09 20:29:00]: senhasegura FILE INFO Backup diretorio ******
efetuado com sucesso
Duration: 2.318238474s
Restaurando um backup
Atenção. Este procedimento irá restaurar a base de dados por completo, tanto dados quanto estrutura, para o período de tempo desejado. Você deve restaurar todos outros binários da aplicação caso uma atualização de sistema tenha sido realizada entre o período presente e o período passado desejado. O binário de aplicação pode ser restaurado utilizando a ferramenta Debian APT.
Para restaurar o backup você deve ter disponível os arquivos de backup originais e ter certeza de que as informações a restaurar são de um momento próximo para não impactar o alcance dos dispositivos e garantir a integridade das informações privilegiadas.
Você deve primeiro restaurar a base mt4 e posteriormente a base senhasegura.
mt4adm@vmdf-giskard:~$ sudo orbit backup recover
--database=mt4
--file=/******/senhasegura-db-2020-06-09_203007mt4.sql.gz
Restoring this file you will replace all the database data.
Are you sure you want to restore this backup file: y
mt4adm@vmdf-giskard:~$ sudo orbit backup recover
--database=senhasegura
--file=/******/senhasegura-db-2020-06-09_203007senhasegura.sql.gz
Restoring this file you will replace all the database data.
Are you sure you want to restore this backup file: y
Gerenciando o Cluster
O processo completo de configuração de um cluster e checagem de status pode ser realizada com o comando cluster. Em adição ao processo, utilizaremos o comando application para iniciar instâncias e definir uma instância primária.
mt4adm@vmdf-giskard:~$ sudo orbit cluster --help
Usage: orbit cluster <command>
High Availability and Disaster Recovery settings tools
Arguments:
<command> Control the application services status: [start|stop|restart|config|status]
Flags:
--help Show context-sensitive help.
--ip=STRING The local node IP
-n, --nodes=NODES,... Cluster nodes list
-s, --segment=0 Define which network segment this node is in
-l, --latency="low" Latency between nodes: [low|medium|high]
--force Force the command execution, never prompt
--show
Criando o cluster
Para criar o cluster é necessário ao menos duas instâncias. Como exemplo, chamaremos as instâncias como "A" e "B". Siga se seguinte ordem para montar o cluster.
Ative a instância A tanto em licença de ativação quanto ativação da aplicação;
Inicie a aplicação na instância A com o comand
orbit application start;O argumento
–ipdeve ser usado com o IP da instância que o comando está sendo executadoConfigure o cluster na instância A preenchendo o parâmetro
–ipcom o IP da instância A e o parâmetro–nodescom os IPs da instância A e B respectivamente;Determine a instância A como primária através do comando
orbit application masterInicie o cluster na instância A com o comando
orbit cluster starte aguarde ao menos 1 minuto para normalização;Ative a instância B com a licença de ativação e mantenha a aplicação inativa;
Configure o cluster na instância B preenchendo o parâmetro
–ipcom o IP da instância B e o parâmetro–nodescom os IPs da instância A e B respectivamente;Inicie o cluster na instância B com o comando
orbit cluster starte aguarde ao menos 1 minuto para normalização;
Instância A
mt4adm@vmdf-giskard:~$ sudo orbit application master
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
Application: Active
Replication: Inactive
Instance: Primary
mt4adm@vmdf-giskard:~$ sudo orbit cluster config
--ip=172.18.77.184
--nodes=172.18.77.184,172.18.77.186
--segment=0
--latency="low"
Are you sure you want to proceed: y
Done!
No errors reported
mt4adm@vmdf-giskard:~$ sudo orbit cluster start --ip=172.18.77.184
Are you sure you want to proceed: y
Done!
No errors reported
Instância B
mt4adm@vmdf-giskard:~$ sudo orbit cluster config
--ip=172.18.77.186
--nodes=172.18.77.184,172.18.77.186
--segment=1
--latency="low"
Are you sure you want to proceed: y
Done!
No errors reported
mt4adm@vmdf-giskard:~$ sudo orbit cluster start --ip=172.18.77.186
Are you sure you want to proceed: y
Done!
No errors reported
Status do cluster
Através do comando orbit cluster status você pode observar diversas propriedades do cluster. Como são muitas informações, não listaremos no manual todos os detalhes. Mas vamos apresentar a informação essencial para entender se o cluster está ativo e sem problemas.
Preste atenção no bloco final do status, chamado "Cluster nodes". Neste bloco você verá quem são os membros do cluster e o timestamp de sincronização entre eles. Há também o status da instância atual que deve estar marcada como "synced".
mt4adm@vmdf-giskard:~$ sudo orbit cluster status
...
============================================================
Cluster nodes
Cluster member: ID [0] - UUID [64661644-b0df-11ea-80b2-8ee23c1303c0] -
Hostname [vmdf-giskard-3232290344] - Timestamp [1592428528]
Cluster member: ID [1] - UUID [9dff00d8-b0df-11ea-86c4-83725d654e03] -
Hostname [vmdf-giskard-3232290348] - Timestamp [1592428528]
Cluster UUID: 64679b9f-b0df-11ea-a6e5-67ba900fecc0
vmdf-giskard details: status=synced
vmdf-giskard is primary node ?: 1
============================================================
Certificado SSL da aplicação Web
Veja os detalhes do certificado que está sendo utilizado pela aplicação Web e faça a instalação de novos certificados.
mt4adm@vmdf-giskard:~$ sudo orbit webssl --help
Usage: orbit webssl
Webserver SSL certificates management tools
Flags:
--help Show context-sensitive help.
-c, --cert=STRING Specifies a file with the certificate
-k, --key=STRING Specifies a file with the certificate secret key
--save Save files on ssl directory
--force Force the command execution, never prompt
--show
Utilize o comando orbit webssl –show para listar os detalhes do certificado SSL que está sendo utilizado pela aplicação Web.
Instalando um novo certificado
Para instalar o certificado você deve transferir os arquivos do certificado para dentro do servidor do senhasegura e executar o comando orbit webssl com os argumentos –cert para o arquivo do certificado e o argumento –key com a chave do certificado. Veja o exemplo.
mt4adm@vmdf-giskard:~$ orbit webssl
--cert=selfsigned.crt
--key=selfsigned.key
Are you sure you want to proceed: y
Done!
No errors reported
Configurando localização da instância
Utilizando o comando orbit locale você pode definir as configurações de localização, fuso horário do servidor e idioma do navegador interno.
mt4adm@vmdf-giskard:~$ sudo orbit locale --help
Usage: orbit locale
Language and locale settings
Flags:
-h, --help Show context-sensitive help.
--force Force the command execution, never prompt
lcle
--timezone=STRING Timezone string
-l, --browser-locale=STRING Specifies the browser locale for http sessions.
act
--show
Para listar a configuração ativa, utilize o argumento –show.
mt4adm@vmdf-giskard:~$ sudo orbit locale --show
Timezone
Timezone is 'America/Sao_Paulo'
Para configurar o idioma do navegador interno, utilize o argumento –browser-locale
mt4adm@vmdf-giskard:~$ sudo orbit locale --browser-locale en-gb
mt4adm@vmdf-giskard:~$
Consulte a tabela a seguir com os códigos de idiomas válidos para essa configuração:
ach | Acoli | af | African | all | Todos os pacotes para Firefox ESR (meta) |
an | Aragonês | ar | Árabe | ast | Asturiano |
az | Azerbaijano | be | Bielorrusso | bg | Búlgaro |
bn | Bengali | br | Bretã | bs | Bósnia |
ca | Catalão | ca-valencia | catalão (Valencia) | cak | Kaqchikel |
cs | Tcheco | cy | Galês | da | Dinamarquês |
de | Alemão | dsb | Lower Sorbian | en-ca | Inglês (Canadá) |
en-gb | Inglês (Reino Unido) | eo | Esperanto | es-ar | Espanhol (Argentina) |
es-cl | Espanhol (Chile) | es-es | Espanhol (Espanha) | es-mx | Espanhol (México) |
et | Língua estoniana | eu | Basco | fa | Persa |
ff | Fulah | fi | Finlandês | fr | Francês |
fy-nl | Frísio Ocidental (Países Baixos) | ga-ie | Irlandês (Irlanda) | gd | Escocês |
gd | Escocês | gl | Galego | gn | Guarani |
gu-in | Guzerate (Índia) | he | Hebreu | hi-in | Hindi (Índia) |
hr | Croata | hsb | Alto sorábio | hu | Húngaro |
hy-am | Armênio (Armenia) | ia | Interlingua | id | Indonésio |
is | Islandês | it | Italiano | ja | Japonês |
ka | Georgian | kab | Kabyle | kk | Kazakh |
km | Central Khmer | kn | Kannada | ko | Korean |
lij | Ligurian | lij | Ligurian | lt | Lithuanian |
lv | Latvian | mk | Macedonian | mr | Marathi |
ms | Malay | my | Burmese | nb-no | Norwegian Bokm?l (Noruega) |
ne-np | Nepali (Nepal) | nl | Dutch | nn-no | Norwegian Nynorsk (Noruega) |
oc | Occitan | pa-in | Panjabi (Índia) | pl | Polish |
pt-br | Portuguese (Brasil) | pt-pt | Portuguese (Portugal) | rm | Romansh |
ro | Romanian | ru | Russian | si | Sinhala |
sk | Slovak | sl | Slovenian | son | Songhais |
sq | Albanian | sr | Serbian | sv-se | Swedish (Suécia) |
ta | Tamil | te | Telugu | th | Thai |
tl | Tagalog | tr | Turkish | trs | Chicahuaxtla Triqui |
uk | Ukrainian | ur | Urdu | uz | Uzbek |
vi | Vietnamese | xh | Xhosa | zh-cn | Chinese (China) |
zh-tw | Chinese (Taiwan) | el | Grego moderno |
Para configurar uma nova localização você deve antes ter conhecimento das possibilidades. As localizações disponíveis estão no diretório /usr/share/zoneinfo.
mt4adm@vmdf-giskard:~$ sudo orbit locale --timezone=Europe/Paris
Are you sure you want to proceed: y
Done!
No errors reported
Restarting the database service. Please wait...
Are you sure you want to proceed: y
Done!
No errors reported
Configurando partições remotas
O comando orbit partition permite que você liste, adicione ou remova partições remotas que são utilizadas para encaminhar o backup de banco de dados, arquivos de sessão e informações criptografadas com a chave mestra.
mt4adm@vmdf-giskard:~$ sudo orbit partition --help
Usage: orbit partition
File system partitions management tools
Flags:
--help Show context-sensitive help.
-l, --local="/srv/backup_remoto" Local path to mount point
-h, --remote-host=STRING Remote host address
-r, --remote-path=STRING Remote path to mount
--type="cifs" The filesystem type: [nfs|cifs]
-o, --options=STRING Adcional options to mount
-u, --user=STRING Samba credentials username
-p, --password=STRING Samba credentials password
-d, --domain=STRING Samba credentials domain
--remount Remount the local partition
--umount Unmount the partition configuration
--delete Unmount and delete the partition configuration
--force Force the command execution, never prompt
--show
Adicionando uma partição remota CIFS
Você deve estar familiarizado com o protocolo CIFS e as opções de montagem disponíveis para ambiente Linux. No caso do senhasegura utilizamos o pacote cifs-utils do Debian2. Este pacote é mantido pelos desenvolvedores do SAMBA3. Mais detalhes das opções de montagem pode ser encontrado em seu manual oficial4.
Ao utilizar o protocolo CIFS, o comando orbit irá criar um arquivo de autenticação localizado em /root/.smbcred que contém os dados de autenticação para a montagem. Utilize este arquivo no argumento de opções.
O argumento –remote-path deve iniciar com a barra e conter apenas o diretório destino.
mt4adm@vmdf-giskard:~$ sudo orbit partition
--local="/srv/backup_remoto"
--remote-host="192.168.214.37"
--remote-path="/backup"
--type="cifs"
--user="senhasegura"
--password="@qwemaster88"
--domain="sandbox.local"
--options="credentials=/root/.smbcred,uid=1001,gid=1001,file_mode=0750,dir_mode=0750,noexec"
Are you sure you want to proceed: y
Done!
No errors reported
Remontar uma partição remota registrada
Para remontar uma partição, caso o servidor destino tenha ficado inacessível por um tempo gerando erro na partição remota, utilize o comando orbit partition –remount.
mt4adm@vmdf-giskard:~$ sudo orbit partition --remount
Are you sure you want to proceed: y█
Partition remounted with success
- domain=sandbox.local
mount.cifs kernel mount options: ip=192.168.214.37,
unc=\\192.168.214.37\backup,file_mode=0750,dir_mode=0750,
uid=1001,gid=1001,user=senhasegura,domain=sandbox.local,pass=********
Desmontar mas manter uma partição remota registrada
Para desmontar a partição remota mantendo-a registrada no arquivo /etc/fstab, utilize o comando orbit partition –umount.
mt4adm@vmdf-giskard:~$ sudo orbit partition --umount
Are you sure you want to proceed: y
Done!
No errors reported
Desmontar e remover uma partição remota registrada
Para desmontar a partição remota, utilize o comando orbit partition –delete . Este comando irá desmontar a partição e remove-la do arquivo /etc/fstab .
mt4adm@vmdf-giskard:~$ sudo orbit partition --delete
Are you sure you want to proceed: y
Done!
No errors reported
Gerenciamento de disco
Você pode expandir o disco e obter informações de suas partições através do
comando orbit disk
mt4adm@vmdf-giskard:~$ sudo orbit disk --help
Usage: orbit disk
Disks management tools
Flags:
--help Show context-sensitive help.
--expand Process of disk expansion
--force Force the command execution, never prompt
--show
Utilize o argumento –show para visualizar as partições e definições de filesystem.
Através do argumento –expand você poderá expandir o disco virtual para consumir novos espaços alocados no hypervisor.
O procedimento de expansão de disco é muito delicado. Recomenda-se que a instância esteja em manutenção e que o backup e snapshot da máquina virtual tenham sido realizadas.
mt4adm@vmdf-giskard:~$ sudo orbit disk --expand
The disk expansion process is extremely delicate, be sure to take a snapshot
of the server before performing this procedure.
All previously unallocated disk resources will be distributed across current
partitions.
Are you sure you want to expand the disk: y
Done!
No errors reported
Monitoramento Zabbix
Você pode configurar quais servidores Zabbix poderão receber os dados de leitura do senhasegura através do comando orbit zabbix.
mt4adm@vmdf-giskard:~$ sudo orbit zabbix --help
Usage: orbit zabbix
Zabbix client configuration
Flags:
--help Show context-sensitive help.
--server=STRING
--port=4443
--listen=STRING
--lport=10050
--tls
--force Force the command execution, never prompt
--show
Para configurar um novo servidor, utilize os argumentos conforme o exemplo. O argumento
–server deve ser preenchido com o IP do servidor Zabbix. E o argumento –listen deve ser preenchido com a interface de rede que o Zabbix Agent instalado na instância deve monitorar.
O argumento –tls irá gerar a chave de autenticação que será cadastrada no host dentro do Zabbix Server.
mt4adm@vmdf-giskard:~$ sudo orbit zabbix
--server=172.18.77.185
--port=4443
--listen=172.18.77.184
--lport=10050
--tls
Are you sure you want to proceed: y
Done!
Zabbix TLS parameters
Identity = RZniGpvKUJOGvuxWLAPi
Pre-shared key = b59b8a040a063feb8752b7e9dc543ed68a0eea1e9f840245d1e10bce88f
Para listar a configuração ativa, utilize o argumento –show.
mt4adm@vmdf-giskard:~$ orbit zabbix --show
Zabbix informations
Server=172.18.77.185
ServerActive=172.18.77.185:4443
ListenIP=172.18.77.184
ListenPort=10050
TLSPSKIdentity=RZniGpvKUJOGvuxWLAPi
Pre-shared-key=b59b8a040a063feb8752b7e9dc543ed68a0eea1e9f840245d1e10bce88f
Monitoramento SNMP
Utilize o comando orbit snmp para configurar o servidor que irá receber a leitura das MIBs do senhasegura .
mt4adm@vmdf-giskard:~$ sudo orbit snmp --help
Usage: orbit snmp
Simple Network Management Protocol (SNMP) management tools
Flags:
-h, --help Show context-sensitive help.
-c, --community=STRING
-u, --username=STRING SNMPv3 username
-s, --server=STRING Listen server ip address
-a, --allowed-ips=ALLOWED-IPS,...
Allowed servers to query SNMP
-v, --version=2
--force Force the command execution, never prompt
--show
Os seguintes argumentos são obrigatórios:
community:
-cserver:
-sallowed-ips:
-aversion:
-v
Além desses argumentos para o SNMPv3 é obrigatório inserir username: -u
Para configurar a lista de servidores permitidos, utilize os argumentos conforme o exemplo. O argumento –server deve ser preenchido com o IP da interface senhasegura . O argumento –allowed-ips é preenchido com a lista de servidores que podem realizar a leitura SNMP.
Configurar SNMPv2
mt4adm@vmdf-giskard:~$ sudo orbit snmp -c public -s 192.168.86.86 -a 192.168.86.73 -v 2
? Are you sure you want to proceed? [y/N] y█
Done!
No errors reported
Para listar a configuração atual, utilize o argumento –show.
mt4adm@vmdf-giskard:~$ sudo orbit snmp --show
SNMP informations
SNMP Listen address = 192.168.86.86
Community public
Allowed IPs
192.168.86.73
SNMPv3 username = N/A
SNMPv3 authentication pass (SHA) = N/A
SNMPv3 encryption pass (AES) = N/A
SNMPv3 level = authpriv
Configurar SNMPv3
mt4adm@vmdf-giskard:~$ sudo orbit snmp -c public -s 192.168.86.86 -a 192.168.86.73 -v 3 -u mymonitor
? Are you sure you want to proceed? [y/N] y█
Done!
Run 'orbit snmp --show' to view authentication and encryption settings
Example: snmpwalk -v 3 -u mymonitor -a SHA -A iRYRWHXhMHlY -x AES -X jWSqOdVtXwyz -l authPriv 192.168.86.86
Para listar a configuração atual, utilize o argumento –show.
mt4adm@vmdf-giskard:~$ sudo orbit snmp --show
SNMP informations
SNMP Listen address = 192.168.86.86
Community
Allowed IPs
192.168.86.73
SNMPv3 username = mymonitor
SNMPv3 authentication pass (SHA) = iRYRWHXhMHlY
SNMPv3 encryption pass (AES) = jWSqOdVtXwyz
SNMPv3 level = authpriv
mt4adm@vmdf-giskard:~$
Gerenciamento do Firewall
Utilizando o comando orbit firewall você pode gerenciar o bloqueio de origem que é realizado pelo HIDS, e normalizar as regras de firewall para os serviços em execução.
Até a versão corrente (senhasegura v3.2) o bloqueio de um host ocorre quando este host excede a tentativa de login via SSH.
mt4adm@vmdf-giskard:~$ sudo orbit firewall --help
Usage: orbit firewall [<command>]
System Firewall management tools
Arguments:
[<command>] Run security commads: [block|unblock|normalize|status]
Flags:
--help Show context-sensitive help.
-h, --host=HOST,... Host IP or Network list
--force Force the command execution, never prompt
--show
Utilize o argumento –show ou a ação status para listar os IPs que estão com acesso bloqueado a essa instância do senhasegura .
mt4adm@vmdf-giskard:~$ sudo orbit firewall --show
Currently blocked hosts
172.18.77.185
mt4adm@vmdf-giskard:~$ sudo orbit firewall status
Currently blocked hosts
172.18.77.185
Para liberar o acesso de um IP específico, utilize a ação unblock com o argumento –host.
mt4adm@vmdf-giskard:~$ sudo orbit firewall unblock
--host=172.18.77.185
Are you sure you want to proceed: y
Done!
No errors reported
Se houver a necessidade de bloquear um IP específico, você pode utilizar a ação block.
mt4adm@vmdf-giskard:~$ sudo orbit firewall block
--host=172.18.77.185
Are you sure you want to proceed: y
Done!
No errors reported
Para normalizar as regras de firewall baseado nos serviços instalados, a cada atualização do sistema o próprio Orbit executa o comando orbit firewall normalize. Este comando também pode ser executado pelo administrador.
mt4adm@vmdf-giskard:~$ sudo orbit firewall normalize
Are you sure you want to proceed: y
Firewall normalized
No errors reported
Manipulando serviços do sistema operacional
Para conseguir iniciar, parar e reiniciar os serviços do sistema operacional, você deve utilizar o comando orbit service.
mt4adm@vmdf-giskard:~$ sudo orbit service --help
Usage: orbit service <service> <command>
Send commands to the systemd manager
Arguments:
<service> The service name
<command> Systemd command: [start|stop|restart|status]
Flags:
--help Show context-sensitive help.
--force Force the command execution, never prompt
--show
Como exemplo, vamos visualizar o status do serviço SNMP.
mt4adm@vmdf-giskard:~$ sudo orbit service snmpd status
● snmpd.service - Simple Network Management Protocol (SNMP) Daemon.
Loaded: loaded (/lib/systemd/system/snmpd.service; enabled; vendor
preset: enabled)
Active: active (running) since Fri 2020-06-12 21:18:21 CEST; 41min ago
Process: 11119 ExecStartPre=/bin/mkdir -p /var/run/agentx (code=exited,
status=0/SUCCESS)
Main PID: 11120 (snmpd)
Tasks: 1 (limit: 3489)
Memory: 7.7M
CGroup: /system.slice/snmpd.service
└─11120 /usr/sbin/snmpd -Lsd -Lf /dev/null -u Debian-snmp -g
Debian-snmp -I -smux mteTrigger mteTriggerConf -f -p /run/snmpd.pid
Para reiniciar um serviço basta utilizar o comando restart. A mesma sintaxe do exemplo pode ser utilizada para os comandos start e stop, que irão iniciar e parar serviços respectivamente.
mt4adm@vmdf-giskard:~$ sudo orbit service snmpd restart
Are you sure you want to proceed: y
Alterando senhas padrão
Utilizando o comando orbit security você pode alterar a senha padrão dos usuários mt4adm e senhasegura. Mas apenas a senha do usuário mt4adm será apresentada ou indicada pelo administrador.
mt4adm@vmdf-giskard:~$ sudo orbit security --help
Usage: orbit security <command>
System security management tools
Arguments:
<command> Security action: [password]
Flags:
--help Show context-sensitive help.
--pwgen Genarate a ramdom password for the system's default user account
Para alterar a senha de mt4adm indicando um novo valor, utilize o comando password.
mt4adm@vmdf-giskard:~$ sudo orbit security password
This action will change the password for the system default user account
Changing password: mt4adm
New password: *********
Retype new password: *********
Are you sure you want to proceed: y
Done!
No errors reported
Changing password: senhasegura
Done!
No errors reported
Para alterar a senha solicitando que uma senha randomica seja gerada e apresentada durante o processo, utilize o argumento –pwgen.
mt4adm@vmdf-giskard:~$ sudo orbit security password --pwgen
This action will change the password for the system default user account
Changing password: mt4adm
Are you sure you want to proceed: y
Done!
No errors reported
The random generated password was: a*Y9z75#
Changing password: senhasegura
Done!
No errors reported
Desligando ou reiniciando o servidor
Para desligar ou reiniciar o servidor utilize o comando orbit shutdow.
O desligamento é imediato. Sem agendamento. Os procedimentos de desligamento executados por este comando garantem que os serviços serão interrompidos corretamente evitando problemas em ambientes de cluster.
mt4adm@vmdf-giskard:~$ sudo orbit shutdown --help
Usage: orbit shutdown
Power-off or reboot the machine safely.
Flags:
--help Show context-sensitive help.
-r, --reboot Reboot the machine
Para desligar o servidor, utilize apenas o comando orbit shutdown.
mt4adm@vmdf-giskard:~$ sudo orbit shutdown
The server system will shut down. Are you sure you want to proceed: y
Stopping database service...
Para reiniciar o servidor, utilize o argumento –reboot juntamente com o
comando orbit shutdown.
mt4adm@vmdf-giskard:~$ sudo orbit shutdown --reboot
The server system will shut down. Are you sure you want to proceed: y
Stopping database service...
Configurações dos sistemas Proxy
As configurações dos sistemas proxy podem ser executadas através do comando orbit proxy. Cada proxy possui particularidades, então alguns argumentos tem efeito apenas em alguns sistemas.
mt4adm@vmdf-giskard:~$ sudo orbit proxy --help
Usage: orbit proxy <proxy> [<action>]
Application access proxy settings
Arguments:
<proxy> The proxy name: [fajita|jumpserver|rdpgate|nss]
[<action>] Systemd command: [start|stop|restart|status]
Flags:
--help Show context-sensitive help.
--api-cons=STRING The Consumer Key
--api-token=STRING The Token
--rdp-encryption="high" The proxy name: [none|low|high|medium|fips]
--language="en_US" The proxy language
--enable-sudo Enable sudo automation
--fajita-block-interface
--fajita-unblock-interface
--force Force the command execution, never prompt
--show
Iniciando, reiniciando ou parando um sistema proxy
Utilize os comandos start, stop e restart para controlar o status dos sistemas proxy. Utilize o comando status para ver o status atual do serviço.
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita stop
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita start
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita status
● fajita.service - fajita service
Loaded: loaded (/lib/systemd/system/fajita.service; enabled;
vendor preset: enabled)
Active: active (running) since Thu 2020-06-18 17:10:39 -03; 2s ago
Main PID: 13842
Tasks: 6 (limit: 3489)
Memory: 29.6M
CGroup: /system.slice/fajita.service
Listando configurações ativas
Para listar a configuração de cada sistema proxy, utilize o argumento –show para cada sistema.
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita --show
The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: true
mt4adm@vmdf-giskard:~$ sudo orbit proxy jumpserver --show
The Consumer Key: c97c7f976153753b1065a57214853dc5630436c0
The Token: 150cd77aba427d4e4de5ce070b4c5dfe526c941b
Access proxy language: en_US
SUDO automation: True
mt4adm@vmdf-giskard:~$ sudo orbit proxy rdpgate --show
The Consumer Key: ea3d21730571e3ba03ba9812e2579bd0b439643b
The Token: 16c017bb51d2581f7f4eea9c5d851d8fe1d6c10c
Access proxy language: en_US
RDP encryption level: high
Security Layer: rdp
SSL Ptotocols:
TLS Ciphers:
mt4adm@vmdf-giskard:~$ sudo orbit proxy nss --show
The Consumer Key: "a4d63bc9392880fc24358795c9f1615164d4dfa4"
The Token: "40f1d439fd38466fe4bd61e9c96330541d258f04"
Alterando o idioma
Para alterar o idioma de um sistema proxy, utilize o argumento –language. Reinicie o proxy após a configuração.
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita --language="en_US"
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: false
Habilitando uso do SUDO Automatizado
Essa feature está disponível apenas para os proxies senhasegura Web Proxy ou senhasegura Terminal Proxy .
A ativação em um sistema não é refletida no outro.
A segregação desta funcionalidade através da interface Web diz respeito ao uso durante a sessão dentro dos critérios de segurança dos grupos de acesso, dispositivos e credenciais. Mas se a funcionalidade estiver inativa no sistema proxy, o usuário não conseguirá executar a elevação automatizada independente se ele tem a permissão necessária.
Utilize o argumento –enable-sudo para permitir o uso de SUDO automatizado nos proxies senhasegura Web Proxy ou senhasegura Terminal Proxy . Reinicie o proxy após a configuração.
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita
--enable-sudo=false
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: false
Bloqueando e Habilitando a interface do navegador embedado
O navegador embedado que permite acesso proxy a páginas Web pode ter sua interface bloqueada ou habilitada ao usuários.
Habilitando a interface os usuários poderão abrir novas abas e acessar outros sistemas além daquele que a credencial lhe garante acesso.
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita
--fajita-unblock-interface
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita
--fajita-block-interface
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
Determinando o nível de criptografia RDP
Para sistemas proxy que lidam com protocolo RDP você pode determinar o nível de criptografia da conexão. Reinicie o proxy após a configuração.
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita
--rdp-encryption=low
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: false
mt4adm@vmdf-giskard:~$ sudo orbit proxy rdpgate
--rdp-encryption=high
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
The Consumer Key: ea3d21730571e3ba03ba9812e2579bd0b439643b
The Token: 16c017bb51d2581f7f4eea9c5d851d8fe1d6c10c
Access proxy language: en_US
RDP encryption level: high
Security Layer: rdp
SSL Ptotocols:
TLS Ciphers:
Configurando o token WebService A2A para um sistema
As chaves de autenticação WebService A2A dos sitemas proxy podem ser determinadas através dos argumentos –api-cons e –api-token. Reinicie o proxy após a configuração.
mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita
--api-cons=88122cce2d14d5cbd57f77c552e80843d97ff4be
--api-token=b25abee1b365458a9d719608bda85f6eb4900885
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: false
Gestão de aplicações WebService A2A
As aplicações WebService A2A possuem características de segurança que só podem ser administradas através do Orbit Command Line.
mt4adm@vmdf-giskard:~$ sudo orbit api --help
Usage: orbit api <cmd>
A2A settings tools.
Arguments:
<cmd> Configuration option: [forward]
Flags:
-h, --help Show context-sensitive help.
-a, --allowed-origns=ALLOWED-ORIGNS,... Allowed Origns servers list
--enable
--disable
--show
Permitindo IPs de proxy ou loadbalancer
Caso um sistema proxy ou loadbalancer esteja sendo utilizado, o senhasegura irá observar e identificar o cliente solicitante através da variável X-Forwarded-For. Nestes casos, o IP permitido do token WebService A2A deve permanecer sendo o IP da aplicação, mas você deve registrar o IP do proxy/loadbalancer através do comando forward.
mt4adm@vmdf-giskard:~$ sudo orbit api forward -a 192.168.10.5
mt4adm@vmdf-giskard:~$ sudo orbit api forward --enable
mt4adm@vmdf-giskard:~$ sudo orbit api forward --show
Status Enable
Allowed Origns 192.168.10.5
Você pode adicionar mais IPs separados por vírgula. E para inativar, basta utilizar a opção disable.
mt4adm@vmdf-giskard:~$ sudo orbit api forward -a 192.168.10.5,192.168.10.6
mt4adm@vmdf-giskard:~$ sudo orbit api forward --enable
mt4adm@vmdf-giskard:~$ sudo orbit api forward --show
Status Enable
Allowed Origns 192.168.10.5,192.168.10.6
mt4adm@vmdf-giskard:~$ sudo orbit api forward --disable
mt4adm@vmdf-giskard:~$ sudo orbit api forward --show
Status Disable
Allowed Origns 192.168.10.5,192.168.10.6
Execução manual dos serviços de senhasegura
Os serviços de senhasegura são responsáveis pela execução das tarefas assimétricas de todos os módulos de senhasegura .
Por padrão, somente a primeira instância de cluster tem condição e permissão para executar todos os serviços. Os outros membros do cluster só podem executar tarefas relacionadas aos módulos operacionais. Tarefas relacionadas a backup e chave mestra só podem ser executadas pelo membro principal.
Se você precisar executar manualmente um serviço para ver seu comportamento ou depuração, use o seguinte comando na instância principal.
mt4adm@vmdf-giskard:~$ sudo orbit execution
Usage: orbit execution --code=STRING
Application execution process tool.
Flags:
-h, --help Show context-sensitive help.
-c, --code=STRING The Execution Process ID
-t, --task=STRING The Execution Task ID
-o, --option=STRING The Execution Process extra options
-v, --verbose Enable verbose mode
-d, --debug Enable debug mode
--force Force the command execution, never prompt
O parâmetro código é o ID do serviço numérico, listado em Configurações ➔ Processos de execução ➔ Processos.
O parâmetro tarefa só pode ser usado se o serviço alvo tiver uma tarefa programada no relatório Configurações ➔ Serviços ➔ Robôs e tarefas ➔ Tarefas.
As bandeiras verbose e debug aumentarão a saída do procedimento, dando mais detalhes sobre a operação.
mt4adm@vmdf-giskard:~$ sudo orbit execution --code 56 --verbose --debug
[2021-01-10 20:55:48 9.34Mb]: Preparing execution. PID 13158
[2021-01-10 20:55:49 9.84Mb]: Starting the change schedule for expired passwords
[2021-01-10 20:55:49 10.17Mb]: Finished
[2021-01-10 20:55:49 10.16Mb]: Finishing PID 13158
mt4adm@vmdf-giskard:~$
Configurando Domum Gateway
Utilizando o comando orbit domum-gateway você pode definir as configurações do gateway do modulo Domum.
mt4adm@vmdf-giskard:~$ sudo orbit domum-gateway -h
Usage: orbit domum-gateway <action>
Domum Gateway settings tools
Arguments:
<action> Domum gateway action: [challenge|setup|rotate|status]
Flags:
-h, --help Show context-sensitive help.
-a, --activation=STRING Activation string
-c, --challenge=STRING Challenge string
--force Force the command execution, never prompt
--show
Para listar o estado atual da comunicação da instância senhasegura com o Domum Gateway utilize o comando –show ou status
mt4adm@vmdf-giskard:~$ sudo orbit domum-gateway status
Connection with Domum Gateway is UP!
PING 16.202.217.165 (16.202.217.165) 56(84) bytes of data.
64 bytes from 16.202.217.165: icmp_seq=1 ttl=64 time=48.5 ms
64 bytes from 16.202.217.165: icmp_seq=2 ttl=64 time=48.5 ms
64 bytes from 16.202.217.165: icmp_seq=3 ttl=64 time=48.7 ms
64 bytes from 16.202.217.165: icmp_seq=4 ttl=64 time=48.4 ms
64 bytes from 16.202.217.165: icmp_seq=5 ttl=64 time=53.4 ms
--- 169.254.251.125 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 9ms
rtt min/avg/max/mdev = 48.403/49.489/53.356/1.950 ms
interface: Domum
public key: 3pnqyBznY9Jxise6PneZRALBJwUfgASTpkUVtHOV6VU=
private key: (hidden)
listening port: 46008
peer: Z+yzMY4Z9kcA1FfaCEu5dXk+qR4ke73jhspDKjAuswg=
endpoint: 52.27.111.109:51820
allowed ips: 16.202.217.165/32
latest handshake: 15 seconds ago
transfer: 2.23 KiB received, 2.29 KiB sent
persistent keepalive: every 25 seconds
Se nenhuma configuração tenha sido realizada o comando imprimirá uma mensagem de erro:
mt4adm@vmdf-giskard:~$ sudo orbit domum-gateway status
This instance is not connect to any Domum Gateway
Setup needed
Para configurar o Domum Gateway utilize primeiro o argumento challenge, essa ação irá gerar um certificado único para a instância que deve ser enviado para nossa equipe de Suporte, que realizará a configuração entre a VPN da empresa contratante e o Domum Gateway.
mt4adm@vmdf-giskard:~$ sudo orbit domum-gateway challenge
Are you sure you want to proceed: y█
Your Domum gateway challenge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=
Em seguida nossa equipe enviará uma string de configuração, com essa string em mãos, cole junto ao argumento setup –activation.
mt4adm@vmdf-giskard:~$ sudo orbit domum-gateway setup --activation=MIIFgQYJKoZIhvcNAQcDoIIFcjCCBW4CAQAxggJlMIICYQIBADBJMDExDj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Are you sure you want to proceed: y█
Done!
No errors reported
Com esses passos a configuração terá sido concluída.
Uma vez configurado a instância com o gateway, você poderá solicitar que as chaves sejam alteradas.
Para realizar um rotacionamento utilize o argumento rotate.
Ao utilizar esse argumento você irá reiniciar todas as conexões ativas.
mt4adm@vmdf-giskard:~$ sudo orbit domum-gateway rotate
Are you sure you want to proceed: y█
Connection with Domum Gateway is UP!
PING 16.202.217.165 (16.202.217.165) 56(84) bytes of data.
64 bytes from 16.202.217.165: icmp_seq=1 ttl=64 time=48.0 ms
64 bytes from 16.202.217.165: icmp_seq=2 ttl=64 time=48.0 ms
64 bytes from 16.202.217.165: icmp_seq=3 ttl=64 time=48.1 ms
64 bytes from 16.202.217.165: icmp_seq=4 ttl=64 time=48.2 ms
64 bytes from 16.202.217.165: icmp_seq=5 ttl=64 time=47.6 ms
--- 16.202.217.165 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 8ms
rtt min/avg/max/mdev = 47.581/47.977/48.220/0.352 ms
interface: Domum
public key: KTucX7gwxCCGKzuU63DccQ/J5eQtGkSEoCnQ+K+s4C8=
private key: (hidden)
listening port: 49538
peer: 7CqAnT/YsFnqCBQRbwybeIB4C6XMh6BcIQGBjDhfxgo=
endpoint: 52.27.111.109:51820
allowed ips: 16.202.217.165/32
latest handshake: 5 seconds ago
transfer: 828 B received, 1.42 KiB sent
persistent keepalive: every 25 seconds
mt4adm@vmdf-giskard:~$