Pular para o conteúdo principal
Version: 3.21

Interface de linha de comando Orbit

Introdução

Para facilitar a administração do sistema operacional que hospeda o senhasegura , a integração com serviços básicos de rede e até mesmo atualiza os binários que compõem toda a arquitetura do sistema, a partir da versão 3.2 do senhasegura o administrador poderá utilizar a ferramenta de linha de comando orbit que centraliza as principais operações de manutenção e configuração da plataforma.

Estas operações necessitam de elevação de privilégio. Portanto apenas o usuário root e o mt4adm tem permissão de uso do binário.

Símbolos usados neste cookbook

Este livro usa os seguintes símbolos para destacar informações que devem ser levadas em consideração para o melhor uso de senhasegura :

info

Info - Informações úteis que podem tornar o uso da solução mais dinâmico.

caution

Caution - Ações e itens que não podem ser ignorados.

  • commands : Dados que devem ser inseridos da mesma forma como descrito neste livro.

  • URLs : Caminhos para acessar páginas da web.
  • <KEYS> : Caminhos de teclado que serão usados para realizar ações.

Comandos disponíveis

O comando orbit se executado sem nenhuma instrução irá exibir sua sintaxe padrão. Vários módulos estão disponíveis para uso, e cada um destes módulos irá atuar em diferentes serviços ou intragrações do senhasegura .

caution

Caso você esteja em uma arquitetura de cluster, é importante saber que as ações realizadas em uma instância não são refletidas em todas as outras instâncias. Para os comandos que podem infligir no funcionamento do cluster, é necessário que você execute manualmente os comandos em cada uma das instâncias.

caution

Os comandos abaixo podem reiniciar serviços essenciais para o funcionamento da aplicação gerando uma indisponibilidade momentânea. Configurações inválidas podem ocasionar indisponibilidades irreversíveis.

Você sempre será alertado da possibilidade de indisponibilidade e questionado se deseja prosseguir com a execução dos comandos.

Caso você tente executar sem elevação, você receberá uma mensagem de alerta.

mt4adm@vmdf-giskard:~$ orbit
This program must be run with root permissions!

Com a elevação de privilégio você verá os módulos disponíveis. O mesmo resultado pode ser obtido pelo comando 'orbit --help'.

mt4adm@vmdf-giskard:~$ orbit
Usage: orbit <command>

Orbit is the MT4:senhasegura cli created to provide tools for system
configuration and administrative routines.

Flags:
--help Show context-sensitive help.

Commands:
application Application settings tools.
network Network settings tools
hostname Change the server hostname. Changing the hostname you
will need reboot of the server.
dns The Domain Name System (DNS) management tools
ntp The Network Time Protocol (NTP) management tools
tuning Application tuning configuration
upgrade Upgrade the system by installing/upgrading packages
backup Application backup settings
cluster High Availability and Disaster Recovery settings tools
webssl Webserver SSL certificates management tools
locale Language and locale settings
partition File system partitions management tools
disk Disks management tools
zabbix Zabbix client configuration
proxy Application access proxy settings
fajita Fajita access proxy management tools
snmp Simple Network Management Protocol (SNMP) management
tools
firewall System Firewall management tools
shutdown Power-off or reboot the machine safely.
service Send commands to the systemd manager
security System security management tools
version Print version information and quit

Run "orbit <command> --help" for more information on a command.

Você pode exibir a ajuda de cada módulo utilizando a sintaxe orbit <command> –help onde <command> deve ser substituído pelo módulo desejado. Exemplo: orbit dns –help.

Vamos agora apresentar módulo a módulo com suas funcionalidades e exemplos.

Obtendo a versão da plataforma

Você pode obter a versão da plataforma senhasegura utilizando o comando orbit version. É importante que todos membros de um cluster estejam na mesma versão. E a informação de versão deve ser encaminhada na solicitação de suporte.

mt4adm@vmdf-giskard:~$ sudo orbit version
senhasegura Orbit Console
Version 1.1.0-28

Application
Orbini 5.10.9.3
senhasegura 3.2.0.1

Gerenciando a Aplicação

caution

Podemos visualizar os logs da aplicação que são hoje gravados em arquivos e indexados no elasticsearch. No cluster agora na segunda instância é possível visualizar estes arquivos de log, estes relatórios são de 10.000 registros.

Você pode gerenciar o estado da aplicação do senhasegura desta instância com o comando orbit application.

mt4adm@vmdf-giskard:~$ sudo orbit application --help
Usage: orbit application [<command>]

Application settings tools.

Arguments:
[<command>] Control the application services status:
[start|stop|restart|status|master|version]

Flags:
--help Show context-sensitive help.

--version Show the application components versions
--force Force the command execution, never prompt
--show
  • start: Ativa a instância para uso dos usuários.

  • stop: Inativa a instância para uso dos usuários.

  • restart: Reinicia os serviços utilizados para distribuir a aplicação Web, com exceção do banco de dados, sistemas proxy e serviços iniciados pelo Cron.

  • status: Exibe o status desta instância.

  • master: Define esta instância como Primária em um cenário de cluster.

  • version: Exibe a versão instalada da plataforma Orbini e senhasegura .

Status da aplicação

O comando orbit application status apresenta o status de cada função primária da instância. Sendo:

  • Application: Status da instância quanto sua ativação. "Active" para disponível ao uso dos usuários e "Inactive" para indisponível ao uso dos usuários;

  • Replication: Status da replicação/cluster desta instância. "Active" para indicar que é membro de cluster e "Inactive" para indicar que não faz parte de um cluster;

  • Instance: Papel da instância no cluster. "Primary" para instância principal, "Secondary" para instância de apoio;

mt4adm@vmdf-giskard:~$ sudo orbit application status

Application: Active
Replication: Inactive
Instance: Primary

Inativando uso da instância

O comando orbit application stop inativa a aplicação para uso dos usuários. Essa ação não afeta a ativação de licença e nem a execução dos robôs na instância.

Essa ação é equivalente a ativação da instância no menu Orbit ➔ Settings ➔ Application.

mt4adm@vmdf-giskard:~$ sudo orbit application stop
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y

Application: Inactive
Replication: Inactive
Instance: Primary

Ativando o uso da instância

O comando orbit application start ativa a aplicação para uso dos usuários. Essa ação não afeta a ativação de licença e nem a execução dos robôs na instância.

Essa ação é equivalente a ativação da instância no menu Orbit ➔ Settings ➔ Application.

mt4adm@vmdf-giskard:~$ sudo orbit application start
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y

Application: Active
Replication: Inactive
Instance: Primary

Definindo a instância como primária

O comando orbit application master configura a instância como instância Primária. Caso a instância estiver inativa, será automáticamente ativada e elevada a Primária.

caution

A instância Primária é responsável pela execução de serviços únicos que não são executados nas demais instâncias do Cluster.

mt4adm@vmdf-giskard:~$ sudo orbit application master
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y

Application: Active
Replication: Inactive
Instance: Primary

Reiniciando os serviços da aplicação

O comando orbit application restart reinicia os serviços utilizados para distribuir a aplicação Web, com exceção do banco de dados, sistemas proxy e serviços iniciados pelo Cron.

Basicamente reinicia apenas os serviços utilizados pelo Webserver.

mt4adm@vmdf-giskard:/home/mt4adm## sudo orbit application restart
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y█

Application: Active
Replication: Inactive
Instance: Primary

Obtendo a versão instalada

O comando orbit application version apresenta a versão da plataforma senhasegura e framework Orbini. Seu funcionamento é semelhante ao comando orbit version, descrito anteriormente.

mt4adm@vmdf-giskard:~$ sudo orbit application version
Applications
Orbini 5.10.13.27
senhasegura 3.2.0.1

Configurando interfaces de rede

Configure a interface de rede primária do senhasegura que é utilizada para alcançar a interface Web, Proxies e Webservices.

caution

Esta funcionalidade substitui a necessidade de login localhost com o usuário 'orbit'.

Ao configurar a interface de rede será necessário reiniciar o servidor para que as configurações sejam aplicadas.

mt4adm@vmdf-giskard:~$ sudo orbit network --help
Usage: orbit network

Network settings tools

Flags:
--help Show context-sensitive help.

-i, --interface=STRING
-a, --address=STRING
-m, --netmask=STRING
-g, --gateway=STRING
--reboot Reboot the machine
--force Force the command execution, never prompt
--show

Listando configuração atual

O comando orbit network –show apresenta as configurações de rede que estão aplicadas no momento.

mt4adm@vmdf-giskard:~$ sudo orbit network --show
Networking interface status
============================================================================
Interface eth0
MAC Address = 00:15:5d:3e:73:1c
MTU = 1500
Type = ether

IPv4
Address = 172.17.182.204
Broadcast = 172.17.182.207
Gateway =
============================================================================
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Ifac
0.0.0.0 172.17.182.193 0.0.0.0 UG 0 0 0 eth0
172.17.182.192 0.0.0.0 255.255.255.240 U 0 0 0 eth0
============================================================================

Sem os argumentos o usuário é apresentado a uma sequência de campos para configurar a interface de rede desejada.

Neste exemplo mostramos como a interface primária é configurada com DHCP.

mt4adm@vmdf-giskard:~$ sudo orbit network
Use the arrow keys to navigate: ↓ ↑ → ←
? Choose an interface to configure:
▸ eth0

? Network settings:
static
▸ dhcp

? Are you sure you want to proceed? [y/N] y
Done!
No errors reported

Neste segundo exemplo mostramos como é configurado a interface com IP fixo.

mt4adm@vmdf-giskard:~$ sudo orbit network
Use the arrow keys to navigate: ↓ ↑ → ←
? Choose an interface to configure:
▸ eth0

? Network settings:
▸ static
dhcp

✔ IP Address: 172.17.182.204
Netmask: 255.255.255.240
Gateway: 172.17.182.193

? Are you sure you want to proceed? [y/N]

Done!
No errors reported

Você pode ainda fornecer os detalhes da configuração como argumentos na linha de comando. Dessa forma a interação é reduzida.

mt4adm@vmdf-giskard:~$ sudo orbit network  
--interface=eth0
--address=172.17.182.204
--netmask=255.255.255.240
--gateway=172.17.182.193

Use the arrow keys to navigate: ↓ ↑ → ←
? Choose an interface to configure:
▸ eth0

? Network settings:
▸ static
dhcp

? Are you sure you want to proceed? [y/N]

Done!
No errors reported

Reiniciando o servidor para aplicar configurações

Utilize o comando orbit network –reboot para que o servidor seja imediatamente reiniciado após a configuração de rede ser inserida. Utilize com cautela.

mt4adm@vmdf-giskard:~$ sudo orbit network --reboot

Use the arrow keys to navigate: ↓ ↑ → ←
? Choose an interface to configure:
▸ eth0

? Network settings:
static
▸ dhcp

? Are you sure you want to proceed? [y/N] y
Done!
No errors reported
Stopping database service...

Definições de hostname

O comando orbit hostname permite trabalhar o hostname do sistema operacional desta instância do senhasegura .

mt4adm@vmdf-giskard:~$ sudo orbit hostname --help
Usage: orbit hostname [<hostname>]

Change the server hostname. Changing the hostname you will need reboot
of the server.

Arguments:
[<hostname>] Setting the server hostname

Flags:
--help Show context-sensitive help.

--reboot Reboot the machine
--force Force the command execution, never prompt
--show

Você pode determinar um novo hostname fornecendo o novo hostname como último argumento, conforme descrito na ajuda do comando.

mt4adm@vmdf-giskard:~$ sudo orbit hostname vmdf-giskard
Are you sure you want to proceed: y
Done!
No errors reported

Definições de DNS

Configure os servidores DNS que esta instância irá consultar através do comando orbit dns.

mt4adm@vmdf-giskard:~$ sudo orbit dns --help
Usage: orbit dns

The Domain Name System (DNS) management tools

Flags:
--help Show context-sensitive help.

-s, --servers=SERVERS,... Domain servers list
--search=SEARCH,... The domain search list
-d, --domain=STRING Domain name
--force Force the command execution, never prompt
--show

Você pode listar quais são os servidores ativos através do argumento –show.

mt4adm@vmdf-giskard:~$ sudo orbit dns --show
DNS configuration
DNS Servers:
- 172.17.182.193
Domain: mshome.net
Search:
- mshome.net

Para configurar a cadeia de servidores DNS você pode utilizar os demais argumentos. Os servidores DNS serão aplicados imediatamente.

mt4adm@vmdf-giskard:~$ sudo orbit dns  
--servers=172.17.182.10,172.17.182.11
--search=mshome.net
--domain=mshome.net
Are you sure you want to proceed: y
Done!
No errors reported

Servidores NTP

Configure quais servidores NTP a instância deve consultar para manter o horário sincronizado, através do comando orbit ntp. Essa configuração será aplicada imediatamente.

A alteração de servidores NTP podem afetar o uso de tokens OTP.

mt4adm@vmdf-giskard:~$ sudo orbit ntp --help
Usage: orbit ntp

The Network Time Protocol (NTP) management tools

Flags:
--help Show context-sensitive help.

-s, --servers=SERVERS,... NTP servers list
-l, --listen-interface=STRING NTP listen interface
--force Force the command execution, never prompt
--show

Para listar a configuração ativa, basta utilizar o argumento –show.

mt4adm@vmdf-giskard:~$ sudo orbit ntp --show
NTP Status
Servers

a.ntp.br
b.ntp.br
Listen interface eth0

remote refid st t when poll reach delay offset jitter
==========================================================================
*a.ntp.br 200.160.7.186 2 u 34 128 377 5.196 -0.647 0.585
+b.ntp.br 200.160.7.186 2 u 2 128 377 47.750 -3.436 8.249
Tue 09 Jun 2020 04:49:55 PM -03

Para configurar novos servidores que irão substituir a configuração atual, utilize os demais argumentos conforme o exemplo.

mt4adm@vmdf-giskard:~$ sudo orbit ntp  
--servers=a.ntp.br,b.ntp.br --listen-interface=eth0
Are you sure you want to proceed: y
Done!
No errors reported

Tuning

O tuning do ambiente é realizado alterando propriedades de ambiente do webserver, banco de dados e engine do PHP. Desta forma, toda arquitetura de serviço irá trabalhar de maneira mais adequada aos recursos de hardware disponíveis nesta instância.

As configurações de tuning deve ser realizadas sempre ao término de uma implantação de nova instância, ou quando há um redimensionamento de hardware que possa afetar a CPU e memória RAM do servidor.

Esta mesma configuração pode ser realizada através do menu Orbit ➔ Server ➔ System tuning.

info

Se você não tiver conhecimento das variáveis tratadas por este comando, recomendamos que você utilize o tuning através da interface Web do Orbit. Através da inferface Web o próprio Orbit irá calcular o melhor cenário de uso do servidor.

caution

Este comando irá reiniciar os serviços de Webserver, Banco de dados e engine do PHP. A configuração indevida de valores pode interromper o funcionamento.

mt4adm@vmdf-giskard:~$ sudo orbit tuning --help
Usage: orbit tuning

Application tuning configuration

Flags:
--help Show context-sensitive help.

--db-max-conn=INT The maximum number of simultaneous client
connections
--db-buffer-pool=INT DB buffer pool size (MB)
--db-thread=INT Number of threads used to apply write sets
when in cluster.
--ws-workers=INT The number of worker processes
--ws-workers-children=INT The maximum number of connections that each
worker process can handle simultaneously
--force Force the command execution, never prompt
--show

Por padrão o senhasegura é instalado com um perfil de tuning para duas CPUs e 4G RAM. Você pode listar os valores do tuning aplicado com o argumento –show.

mt4adm@vmdf-giskard:~$ sudo orbit tuning --show
DB Connections: 750
DB Buffer Pool Size: 768M
Number of threads: 8
Worker processes: 2
Process connections: 75

Você pode definir todas as variáveis através dos demais argumentos.

mt4adm@vmdf-giskard:~$ sudo orbit tuning  
--db-max-conn=750
--db-buffer-pool=768
--db-thread=8
--ws-workers=2
--ws-workers-children=75

The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
Done!
No errors reported
DB Connections: 750
DB Buffer Pool Size: 768M
Number of threads: 8
Worker processes: 2
Process connections: 75

Você pode inclusive alterar apenas alguns parâmetros se necessário. Mas independente de qual o parâmetro afetado, todos serviços serão reiniciados.

mt4adm@vmdf-giskard:~$ sudo orbit tuning --db-thread=4
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
Done!
No errors reported
DB Connections: 750
DB Buffer Pool Size: 768M
Number of threads: 4
Worker processes: 2
Process connections: 75

Atualizando a plataforma

Atrávés do comando orbit upgrade você poderá atualizar todos os pacotes da plataforma senhasegura . Isso inclui os pacotes do sistema operacional, proxy, aplicação web e configurações de segurança.

info

Valide que a instância tenha acesso aos servidores de mirror oficiais do senhasegura .

Preparando a atualização

Execute o comando sudo apt-get update para atualizar a lista de pacotes disponíveis no mirror oficial.

Utilize os argumentos –show ou –check para listar quais pacotes serão instalados.

mt4adm@vmdf-giskard:~$ sudo orbit upgrade --check
Listing...
fajita-server-senhasegura-image/updates-buster 1.0.9-10~buster amd64
[upgradable from: 1.0.9-9~buster]
orbini/buster 5.10.13-28~buster all [upgradable from: 5.10.13-27~buster]
orbit-cli/buster 1.1.0-22~buster all [upgradable from: 1.1.0-21~buster]
senhasegura-app/buster 3.1.11-8~buster all [upgradable from: 3.1.11-7~buster]
xrdp-senhasegura-image/updates-buster 1.0.9-10~buster amd64
[upgradable from: 1.0.9-9~buster]
Atualizando a instância

Para atualizar a instância basta executar o comando orbit upgrade. O Orbit irá inicialmente validar a versão do binário orbit, e caso aja a necessidade de atualiza-lo antes de iniciar as demais atualizações, será apresentada uma mensagem contendo as instruções de atualização.

mt4adm@vmdf-giskard:~$ sudo orbit upgrade
A new version of your system will be installed.
Are you sure you want to proceed: y

Checking for new versions. Please wait...

A new version of orbit-cli is available.

Run apt-get install orbit-cli before continue.

Assim que o binário orbit estiver atualizado, execute novamente o comando orbit upgrade para atualizar todas demais atualizações.

info

Consulte o Cookbook Primeira Experiencia para entender como fazer a atualização offline.

O processo de atualização irá apresentar diversas mensagens relacionadas as tarefas que estão sendo executadas, e reiniciará os serviços diversas vezes durante o processo. Caso não seja possível realizar a atualização, uma mensagem de erro será apresentada ao final. Caso contrário, uma mensagem de sucesso é apresentada.

info

Sempre execute o comando orbit version para validar a versão que foi instalada após o processo de atualização.

mt4adm@vmdf-giskard:~$ sudo orbit upgrade
A new version of your system will be installed.
Are you sure you want to proceed: y█

Checking for new versions. Please wait...

...

[2020-06-17 16:17:18]: Checking firewall...
Firewall normalized
No errors reported

[2020-06-17 16:17:29]: Restarting robots...
Done!
No errors reported

Duration: 4m3.881937248s

Executando e restaurando backup

Através do módulo backup você pode executar novos backups e restaurar um backup específico.

caution

Os arquivos de backup do senhasegura são criptografados. A restauração de um backup pode causar danos em uma estrutura de cluster e até mesmo impedir o acesso a informações privilegiadas. Caso haja a necessidade de restaurar um backup, entre em contato com nossa equipe de suporte para que possamos apoiar essa atividade crítica.

mt4adm@vmdf-giskard:~$ sudo orbit backup --help
Usage: orbit backup <command>

Application backup settings

Arguments:
<command> Perform or Recovery data backup: [create|recover]

Flags:
--help Show context-sensitive help.

--file=STRING Backup file for recovery
--database="senhasegura" The database name to recovery backup.
Default: senhasegura
--force Force the command execution, never prompt
--show

Criando um backup

O senhasegura realizará o backup de duas bases de dados geridas pelo MariaDB1.

  • mt4: Banco de dados com informações da plataforma Orbini

  • senhasegura: Banco de dados com informações da plataforma senhasegura

Execute o comando orbit backup create para que executar um backup em ambas base de dados. Algumas informações foram suprimidas deste log. Mas você verá onde o backup é executado e para onde ele é copiado ao término do processo.

mt4adm@vmdf-giskard:~$ sudo orbit backup create
Are you sure you want to perform a data backup now: y
Orbini Backup 1.0.3.0
[2020-06-09 20:28:57]: BACKUP INFO Utilizando arquivo de configuracao ******
[2020-06-09 20:28:57]: senhasegura DB INFO Iniciando backup mysql
para arquivo
[2020-06-09 20:28:57]: senhasegura DB INFO Comando dump: *** mt4
[2020-06-09 20:28:58]: senhasegura DB INFO Iniciando backup mysql
para arquivo
[2020-06-09 20:28:58]: senhasegura DB INFO Comando dump: *** senhasegura
[2020-06-09 20:29:00]: senhasegura DB INFO Backup MySQL efetuado com sucesso
[2020-06-09 20:29:00]: senhasegura DB INFO Limpando arquivos de
backup antigos
[2020-06-09 20:29:00]: senhasegura FILE INFO Iniciando backup arquivos por
rsync do diretorio ******
[2020-06-09 20:29:00]: senhasegura FILE INFO Comando: rsync -a ****** ******
[2020-06-09 20:29:00]: senhasegura FILE INFO Backup diretorio ******
efetuado com sucesso
Duration: 2.318238474s

Restaurando um backup

caution

Atenção. Este procedimento irá restaurar a base de dados por completo, tanto dados quanto estrutura, para o período de tempo desejado. Você deve restaurar todos outros binários da aplicação caso uma atualização de sistema tenha sido realizada entre o período presente e o período passado desejado. O binário de aplicação pode ser restaurado utilizando a ferramenta Debian APT.

Para restaurar o backup você deve ter disponível os arquivos de backup originais e ter certeza de que as informações a restaurar são de um momento próximo para não impactar o alcance dos dispositivos e garantir a integridade das informações privilegiadas.

Você deve primeiro restaurar a base mt4 e posteriormente a base senhasegura.

mt4adm@vmdf-giskard:~$ sudo orbit backup recover  
--database=mt4
--file=/******/senhasegura-db-2020-06-09_203007mt4.sql.gz

Restoring this file you will replace all the database data.
Are you sure you want to restore this backup file: y

mt4adm@vmdf-giskard:~$ sudo orbit backup recover
--database=senhasegura
--file=/******/senhasegura-db-2020-06-09_203007senhasegura.sql.gz

Restoring this file you will replace all the database data.
Are you sure you want to restore this backup file: y

Gerenciando o Cluster

O processo completo de configuração de um cluster e checagem de status pode ser realizada com o comando cluster. Em adição ao processo, utilizaremos o comando application para iniciar instâncias e definir uma instância primária.

mt4adm@vmdf-giskard:~$ sudo orbit cluster --help
Usage: orbit cluster <command>

High Availability and Disaster Recovery settings tools

Arguments:
<command> Control the application services status: [start|stop|restart|config|status]

Flags:
--help Show context-sensitive help.
--ip=STRING The local node IP
-n, --nodes=NODES,... Cluster nodes list
-s, --segment=0 Define which network segment this node is in
-l, --latency="low" Latency between nodes: [low|medium|high]
--force Force the command execution, never prompt
--show

Criando o cluster

Para criar o cluster é necessário ao menos duas instâncias. Como exemplo, chamaremos as instâncias como "A" e "B". Siga se seguinte ordem para montar o cluster.

  • Ative a instância A tanto em licença de ativação quanto ativação da aplicação;

  • Inicie a aplicação na instância A com o comand orbit application start;

  • O argumento –ip deve ser usado com o IP da instância que o comando está sendo executado

  • Configure o cluster na instância A preenchendo o parâmetro –ip com o IP da instância A e o parâmetro –nodes com os IPs da instância A e B respectivamente;

  • Determine a instância A como primária através do comando orbit application master

  • Inicie o cluster na instância A com o comando orbit cluster start e aguarde ao menos 1 minuto para normalização;

  • Ative a instância B com a licença de ativação e mantenha a aplicação inativa;

  • Configure o cluster na instância B preenchendo o parâmetro –ip com o IP da instância B e o parâmetro –nodes com os IPs da instância A e B respectivamente;

  • Inicie o cluster na instância B com o comando orbit cluster start e aguarde ao menos 1 minuto para normalização;

Instância A
mt4adm@vmdf-giskard:~$ sudo orbit application master
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y

Application: Active
Replication: Inactive
Instance: Primary
mt4adm@vmdf-giskard:~$ sudo orbit cluster config  
--ip=172.18.77.184
--nodes=172.18.77.184,172.18.77.186
--segment=0
--latency="low"

Are you sure you want to proceed: y
Done!
No errors reported
mt4adm@vmdf-giskard:~$ sudo orbit cluster start --ip=172.18.77.184
Are you sure you want to proceed: y
Done!
No errors reported
Instância B
mt4adm@vmdf-giskard:~$ sudo orbit cluster config  
--ip=172.18.77.186
--nodes=172.18.77.184,172.18.77.186
--segment=1
--latency="low"

Are you sure you want to proceed: y
Done!
No errors reported
mt4adm@vmdf-giskard:~$ sudo orbit cluster start --ip=172.18.77.186
Are you sure you want to proceed: y
Done!
No errors reported
caution

Para o correto funcionamento do cluster, é importante que a latência de rede entre os nós seja de no máximo 30ms.

Status do cluster

Através do comando orbit cluster status você pode observar diversas propriedades do cluster. Como são muitas informações, não listaremos no manual todos os detalhes. Mas vamos apresentar a informação essencial para entender se o cluster está ativo e sem problemas.

Preste atenção no bloco final do status, chamado "Cluster nodes". Neste bloco você verá quem são os membros do cluster e o timestamp de sincronização entre eles. Há também o status da instância atual que deve estar marcada como "synced".

mt4adm@vmdf-giskard:~$ sudo orbit cluster status

...

============================================================

Cluster nodes

Cluster member: ID [0] - UUID [64661644-b0df-11ea-80b2-8ee23c1303c0] -
Hostname [vmdf-giskard-3232290344] - Timestamp [1592428528]
Cluster member: ID [1] - UUID [9dff00d8-b0df-11ea-86c4-83725d654e03] -
Hostname [vmdf-giskard-3232290348] - Timestamp [1592428528]

Cluster UUID: 64679b9f-b0df-11ea-a6e5-67ba900fecc0

vmdf-giskard details: status=synced
vmdf-giskard is primary node ?: 1

============================================================

Certificado SSL da aplicação Web

Veja os detalhes do certificado que está sendo utilizado pela aplicação Web e faça a instalação de novos certificados.

mt4adm@vmdf-giskard:~$ sudo orbit webssl --help
Usage: orbit webssl

Webserver SSL certificates management tools

Flags:
--help Show context-sensitive help.

-c, --cert=STRING Specifies a file with the certificate
-k, --key=STRING Specifies a file with the certificate secret key
--save Save files on ssl directory
--force Force the command execution, never prompt
--show

Utilize o comando orbit webssl –show para listar os detalhes do certificado SSL que está sendo utilizado pela aplicação Web.

Instalando um novo certificado

Para instalar o certificado você deve transferir os arquivos do certificado para dentro do servidor do senhasegura e executar o comando orbit webssl com os argumentos –cert para o arquivo do certificado e o argumento –key com a chave do certificado. Veja o exemplo.

mt4adm@vmdf-giskard:~$ orbit webssl  
--cert=selfsigned.crt
--key=selfsigned.key
Are you sure you want to proceed: y
Done!
No errors reported

Configurando localização da instância

Utilizando o comando orbit locale você pode definir as configurações de localização, fuso horário do servidor e idioma do navegador interno.

caution

As configurações de idioma da interface da Web e dos sistemas proxy são alteradas por meio das preferências do usuário e por meio de comandos dedicados dos sistemas proxy.

:::WARNING:IMPORTANTE Reinicie o servidor após executar o comando para aplicar o novo idioma ao sistema de banco de dados. :::

mt4adm@vmdf-giskard:~$ sudo orbit locale --help
Usage: orbit locale

Language and locale settings

Flags:
-h, --help Show context-sensitive help.

--force Force the command execution, never prompt

lcle
--timezone=STRING Timezone string
-l, --browser-locale=STRING Specifies the browser locale for http sessions.

act
--show

Para listar a configuração ativa, utilize o argumento –show.

mt4adm@vmdf-giskard:~$ sudo orbit locale --show
Timezone
Timezone is 'America/Sao_Paulo'

Para configurar o idioma do navegador interno, utilize o argumento –browser-locale

mt4adm@vmdf-giskard:~$  sudo orbit locale --browser-locale en-gb
mt4adm@vmdf-giskard:~$

Consulte a tabela a seguir com os códigos de idiomas válidos para essa configuração:

achAcoliafAfricanallTodos os pacotes para Firefox ESR (meta)
anAragonêsarÁrabeastAsturiano
azAzerbaijanobeBielorrussobgBúlgaro
bnBengalibrBretãbsBósnia
caCatalãoca-valenciacatalão (Valencia)cakKaqchikel
csTchecocyGalêsdaDinamarquês
deAlemãodsbLower Sorbianen-caInglês (Canadá)
en-gbInglês (Reino Unido)eoEsperantoes-arEspanhol (Argentina)
es-clEspanhol (Chile)es-esEspanhol (Espanha)es-mxEspanhol (México)
etLíngua estonianaeuBascofaPersa
ffFulahfiFinlandêsfrFrancês
fy-nlFrísio Ocidental (Países Baixos)ga-ieIrlandês (Irlanda)gdEscocês
gdEscocêsglGalegognGuarani
gu-inGuzerate (Índia)heHebreuhi-inHindi (Índia)
hrCroatahsbAlto sorábiohuHúngaro
hy-amArmênio (Armenia)iaInterlinguaidIndonésio
isIslandêsitItalianojaJaponês
kaGeorgiankabKabylekkKazakh
kmCentral KhmerknKannadakoKorean
lijLigurianlijLigurianltLithuanian
lvLatvianmkMacedonianmrMarathi
msMalaymyBurmesenb-noNorwegian Bokm?l (Noruega)
ne-npNepali (Nepal)nlDutchnn-noNorwegian Nynorsk (Noruega)
ocOccitanpa-inPanjabi (Índia)plPolish
pt-brPortuguese (Brasil)pt-ptPortuguese (Portugal)rmRomansh
roRomanianruRussiansiSinhala
skSlovakslSloveniansonSonghais
sqAlbaniansrSerbiansv-seSwedish (Suécia)
taTamilteTeluguthThai
tlTagalogtrTurkishtrsChicahuaxtla Triqui
ukUkrainianurUrduuzUzbek
viVietnamesexhXhosazh-cnChinese (China)
zh-twChinese (Taiwan)elGrego modernosriBrahmic
DevanagariDevanagari ExtendedVedic Extensions

Para configurar uma nova localização você deve antes ter conhecimento das possibilidades. As localizações disponíveis estão no diretório /usr/share/zoneinfo.

mt4adm@vmdf-giskard:~$ sudo orbit locale --timezone=Europe/Paris
Are you sure you want to proceed: y
Done!
No errors reported

Restarting the database service. Please wait...
Are you sure you want to proceed: y
Done!
No errors reported

Configurando partições remotas

O comando orbit partition permite que você liste, adicione ou remova partições remotas que são utilizadas para encaminhar o backup de banco de dados, arquivos de sessão e informações criptografadas com a chave mestra.

mt4adm@vmdf-giskard:~$ sudo orbit partition --help
Usage: orbit partition

File system partitions management tools

Flags:
--help Show context-sensitive help.

-l, --local="/srv/backup_remoto" Local path to mount point
-h, --remote-host=STRING Remote host address
-r, --remote-path=STRING Remote path to mount
--type="cifs" The filesystem type: [nfs|cifs]
-o, --options=STRING Adcional options to mount
-u, --user=STRING Samba credentials username
-p, --password=STRING Samba credentials password
-d, --domain=STRING Samba credentials domain
--remount Remount the local partition
--umount Unmount the partition configuration
--delete Unmount and delete the partition configuration
--force Force the command execution, never prompt
--show

Adicionando uma partição remota CIFS

Você deve estar familiarizado com o protocolo CIFS e as opções de montagem disponíveis para ambiente Linux. No caso do senhasegura utilizamos o pacote cifs-utils do Debian2. Este pacote é mantido pelos desenvolvedores do SAMBA3. Mais detalhes das opções de montagem pode ser encontrado em seu manual oficial4.

caution

Ao utilizar o protocolo CIFS, o comando orbit irá criar um arquivo de autenticação localizado em /root/.smbcred que contém os dados de autenticação para a montagem. Utilize este arquivo no argumento de opções.

O argumento –remote-path deve iniciar com a barra e conter apenas o diretório destino.

mt4adm@vmdf-giskard:~$ sudo orbit partition  
--local="/srv/backup_remoto"
--remote-host="192.168.214.37"
--remote-path="/backup"
--type="cifs"
--user="senhasegura"
--password="@qwemaster88"
--domain="sandbox.local"
--options="credentials=/root/.smbcred,uid=1001,gid=1001,file_mode=0750,dir_mode=0750,noexec"
Are you sure you want to proceed: y
Done!
No errors reported

Remontar uma partição remota registrada

Para remontar uma partição, caso o servidor destino tenha ficado inacessível por um tempo gerando erro na partição remota, utilize o comando orbit partition –remount.

mt4adm@vmdf-giskard:~$ sudo orbit partition --remount
Are you sure you want to proceed: y█
Partition remounted with success
- domain=sandbox.local
mount.cifs kernel mount options: ip=192.168.214.37,
unc=\\192.168.214.37\backup,file_mode=0750,dir_mode=0750,
uid=1001,gid=1001,user=senhasegura,domain=sandbox.local,pass=********

Desmontar mas manter uma partição remota registrada

Para desmontar a partição remota mantendo-a registrada no arquivo /etc/fstab, utilize o comando orbit partition –umount.

mt4adm@vmdf-giskard:~$ sudo orbit partition --umount
Are you sure you want to proceed: y
Done!
No errors reported

Desmontar e remover uma partição remota registrada

Para desmontar a partição remota, utilize o comando orbit partition –delete . Este comando irá desmontar a partição e remove-la do arquivo /etc/fstab .

mt4adm@vmdf-giskard:~$ sudo orbit partition --delete
Are you sure you want to proceed: y
Done!
No errors reported

Gerenciamento de disco

Você pode expandir o disco e obter informações de suas partições através do comando orbit disk

mt4adm@vmdf-giskard:~$ sudo orbit disk --help
Usage: orbit disk

Disks management tools

Flags:
--help Show context-sensitive help.

--expand Process of disk expansion
--force Force the command execution, never prompt
--show

Utilize o argumento –show para visualizar as partições e definições de filesystem.

Através do argumento –expand você poderá expandir o disco virtual para consumir novos espaços alocados no hypervisor.

caution

O procedimento de expansão de disco é muito delicado. Recomenda-se que a instância esteja em manutenção e que o backup e snapshot da máquina virtual tenham sido realizadas.

mt4adm@vmdf-giskard:~$ sudo orbit disk --expand

The disk expansion process is extremely delicate, be sure to take a snapshot
of the server before performing this procedure.

All previously unallocated disk resources will be distributed across current
partitions.

Are you sure you want to expand the disk: y
Done!
No errors reported

Monitoramento Zabbix

Você pode configurar quais servidores Zabbix poderão receber os dados de leitura do senhasegura através do comando orbit zabbix.

mt4adm@vmdf-giskard:~$ sudo orbit zabbix --help
Usage: orbit zabbix

Zabbix client configuration

Flags:
--help Show context-sensitive help.

--server=STRING
--port=4443
--listen=STRING
--lport=10050
--tls
--force Force the command execution, never prompt
--show

Para configurar um novo servidor, utilize os argumentos conforme o exemplo. O argumento –server deve ser preenchido com o IP do servidor Zabbix. E o argumento –listen deve ser preenchido com a interface de rede que o Zabbix Agent instalado na instância deve monitorar.

O argumento –tls irá gerar a chave de autenticação que será cadastrada no host dentro do Zabbix Server.

mt4adm@vmdf-giskard:~$ sudo orbit zabbix  
--server=172.18.77.185
--port=4443
--listen=172.18.77.184
--lport=10050
--tls

Are you sure you want to proceed: y
Done!
Zabbix TLS parameters
Identity = RZniGpvKUJOGvuxWLAPi
Pre-shared key = b59b8a040a063feb8752b7e9dc543ed68a0eea1e9f840245d1e10bce88f

Para listar a configuração ativa, utilize o argumento –show.

mt4adm@vmdf-giskard:~$ orbit zabbix --show
Zabbix informations
Server=172.18.77.185
ServerActive=172.18.77.185:4443
ListenIP=172.18.77.184
ListenPort=10050
TLSPSKIdentity=RZniGpvKUJOGvuxWLAPi
Pre-shared-key=b59b8a040a063feb8752b7e9dc543ed68a0eea1e9f840245d1e10bce88f

Monitoramento SNMP

Utilize o comando orbit snmp para configurar o servidor que irá receber a leitura das MIBs do senhasegura .

mt4adm@vmdf-giskard:~$ sudo orbit snmp --help
Usage: orbit snmp

Simple Network Management Protocol (SNMP) management tools

Flags:
-h, --help Show context-sensitive help.

-c, --community=STRING
-u, --username=STRING SNMPv3 username
-s, --server=STRING Listen server ip address
-a, --allowed-ips=ALLOWED-IPS,...
Allowed servers to query SNMP
-v, --version=2
--force Force the command execution, never prompt
--show
caution

Os seguintes argumentos são obrigatórios:

  • community: -c

  • server: -s

  • allowed-ips: -a

  • version: -v

caution

Além desses argumentos para o SNMPv3 é obrigatório inserir username: -u

Para configurar a lista de servidores permitidos, utilize os argumentos conforme o exemplo. O argumento –server deve ser preenchido com o IP da interface senhasegura . O argumento –allowed-ips é preenchido com a lista de servidores que podem realizar a leitura SNMP.

Configurar SNMPv2

mt4adm@vmdf-giskard:~$ sudo orbit snmp -c public -s 192.168.86.86 -a 192.168.86.73 -v 2

? Are you sure you want to proceed? [y/N] y█
Done!
No errors reported

Para listar a configuração atual, utilize o argumento –show.

mt4adm@vmdf-giskard:~$ sudo orbit snmp --show

SNMP informations
SNMP Listen address = 192.168.86.86
Community public
Allowed IPs
192.168.86.73

SNMPv3 username = N/A
SNMPv3 authentication pass (SHA) = N/A
SNMPv3 encryption pass (AES) = N/A
SNMPv3 level = authpriv

Configurar SNMPv3

mt4adm@vmdf-giskard:~$ sudo orbit snmp -c public -s 192.168.86.86 -a 192.168.86.73 -v 3 -u mymonitor

? Are you sure you want to proceed? [y/N] y█
Done!
Run 'orbit snmp --show' to view authentication and encryption settings
Example: snmpwalk -v 3 -u mymonitor -a SHA -A iRYRWHXhMHlY -x AES -X jWSqOdVtXwyz -l authPriv 192.168.86.86

Para listar a configuração atual, utilize o argumento –show.

mt4adm@vmdf-giskard:~$ sudo orbit snmp --show
SNMP informations
SNMP Listen address = 192.168.86.86
Community
Allowed IPs
192.168.86.73

SNMPv3 username = mymonitor
SNMPv3 authentication pass (SHA) = iRYRWHXhMHlY
SNMPv3 encryption pass (AES) = jWSqOdVtXwyz
SNMPv3 level = authpriv
mt4adm@vmdf-giskard:~$

Gerenciamento do Firewall

Utilizando o comando orbit firewall você pode gerenciar o bloqueio de origem que é realizado pelo HIDS, e normalizar as regras de firewall para os serviços em execução.

Até a versão corrente (senhasegura v3.2) o bloqueio de um host ocorre quando este host excede a tentativa de login via SSH.

mt4adm@vmdf-giskard:~$ sudo orbit firewall --help
Usage: orbit firewall [<command>]

System Firewall management tools

Arguments:
[<command>] Run security commads: [block|unblock|normalize|status]

Flags:
--help Show context-sensitive help.

-h, --host=HOST,... Host IP or Network list
--force Force the command execution, never prompt
--show

Utilize o argumento –show ou a ação status para listar os IPs que estão com acesso bloqueado a essa instância do senhasegura .

mt4adm@vmdf-giskard:~$ sudo orbit firewall --show
Currently blocked hosts
172.18.77.185

mt4adm@vmdf-giskard:~$ sudo orbit firewall status
Currently blocked hosts
172.18.77.185

Para liberar o acesso de um IP específico, utilize a ação unblock com o argumento –host.

mt4adm@vmdf-giskard:~$ sudo orbit firewall unblock  
--host=172.18.77.185
Are you sure you want to proceed: y
Done!
No errors reported

Se houver a necessidade de bloquear um IP específico, você pode utilizar a ação block.

mt4adm@vmdf-giskard:~$ sudo orbit firewall block  
--host=172.18.77.185
Are you sure you want to proceed: y
Done!
No errors reported

Para normalizar as regras de firewall baseado nos serviços instalados, a cada atualização do sistema o próprio Orbit executa o comando orbit firewall normalize. Este comando também pode ser executado pelo administrador.

mt4adm@vmdf-giskard:~$ sudo orbit firewall normalize
Are you sure you want to proceed: y
Firewall normalized
No errors reported

Manipulando serviços do sistema operacional

Para conseguir iniciar, parar e reiniciar os serviços do sistema operacional, você deve utilizar o comando orbit service.

mt4adm@vmdf-giskard:~$ sudo orbit service --help
Usage: orbit service <service> <command>

Send commands to the systemd manager

Arguments:
<service> The service name
<command> Systemd command: [start|stop|restart|status]

Flags:
--help Show context-sensitive help.

--force Force the command execution, never prompt
--show

Como exemplo, vamos visualizar o status do serviço SNMP.

mt4adm@vmdf-giskard:~$ sudo orbit service snmpd status
● snmpd.service - Simple Network Management Protocol (SNMP) Daemon.
Loaded: loaded (/lib/systemd/system/snmpd.service; enabled; vendor
preset: enabled)
Active: active (running) since Fri 2020-06-12 21:18:21 CEST; 41min ago
Process: 11119 ExecStartPre=/bin/mkdir -p /var/run/agentx (code=exited,
status=0/SUCCESS)
Main PID: 11120 (snmpd)
Tasks: 1 (limit: 3489)
Memory: 7.7M
CGroup: /system.slice/snmpd.service
└─11120 /usr/sbin/snmpd -Lsd -Lf /dev/null -u Debian-snmp -g
Debian-snmp -I -smux mteTrigger mteTriggerConf -f -p /run/snmpd.pid

Para reiniciar um serviço basta utilizar o comando restart. A mesma sintaxe do exemplo pode ser utilizada para os comandos start e stop, que irão iniciar e parar serviços respectivamente.

mt4adm@vmdf-giskard:~$ sudo orbit service snmpd restart
Are you sure you want to proceed: y

Alterando senhas padrão

Utilizando o comando orbit security você pode alterar a senha padrão dos usuários mt4adm e senhasegura. Mas apenas a senha do usuário mt4adm será apresentada ou indicada pelo administrador.

mt4adm@vmdf-giskard:~$ sudo orbit security --help
Usage: orbit security <command>

System security management tools

Arguments:
<command> Security action: [password]

Flags:
--help Show context-sensitive help.

--pwgen Genarate a ramdom password for the system's default user account

Para alterar a senha de mt4adm indicando um novo valor, utilize o comando password.

mt4adm@vmdf-giskard:~$ sudo orbit security password
This action will change the password for the system default user account
Changing password: mt4adm
New password: *********
Retype new password: *********
Are you sure you want to proceed: y
Done!
No errors reported
Changing password: senhasegura
Done!
No errors reported

Para alterar a senha solicitando que uma senha randomica seja gerada e apresentada durante o processo, utilize o argumento –pwgen.

mt4adm@vmdf-giskard:~$ sudo orbit security password --pwgen
This action will change the password for the system default user account
Changing password: mt4adm
Are you sure you want to proceed: y
Done!
No errors reported

The random generated password was: a*Y9z75#
Changing password: senhasegura
Done!
No errors reported

Desligando ou reiniciando o servidor

Para desligar ou reiniciar o servidor utilize o comando orbit shutdow.

caution

O desligamento é imediato. Sem agendamento. Os procedimentos de desligamento executados por este comando garantem que os serviços serão interrompidos corretamente evitando problemas em ambientes de cluster.

mt4adm@vmdf-giskard:~$ sudo orbit shutdown --help
Usage: orbit shutdown

Power-off or reboot the machine safely.

Flags:
--help Show context-sensitive help.

-r, --reboot Reboot the machine

Para desligar o servidor, utilize apenas o comando orbit shutdown.

mt4adm@vmdf-giskard:~$ sudo orbit shutdown
The server system will shut down. Are you sure you want to proceed: y
Stopping database service...

Para reiniciar o servidor, utilize o argumento –reboot juntamente com o comando orbit shutdown.

mt4adm@vmdf-giskard:~$ sudo orbit shutdown --reboot
The server system will shut down. Are you sure you want to proceed: y
Stopping database service...

Configurações dos sistemas Proxy

As configurações dos sistemas proxy podem ser executadas através do comando orbit proxy. Cada proxy possui particularidades, então alguns argumentos tem efeito apenas em alguns sistemas.

mt4adm@vmdf-giskard:~$ sudo orbit proxy --help
Usage: orbit proxy <proxy> [<action>]

Application access proxy settings

Arguments:
<proxy> The proxy name: [fajita|jumpserver|rdpgate|nss]
[<action>] Systemd command: [start|stop|restart|status]

Flags:
--help Show context-sensitive help.

--api-cons=STRING The Consumer Key
--api-token=STRING The Token
--rdp-encryption="high" The proxy name: [none|low|high|medium|fips]
--language="en_US" The proxy language
--enable-sudo Enable sudo automation
--fajita-block-interface
--fajita-unblock-interface
--force Force the command execution, never prompt
--show

Iniciando, reiniciando ou parando um sistema proxy

Utilize os comandos start, stop e restart para controlar o status dos sistemas proxy. Utilize o comando status para ver o status atual do serviço.

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita stop
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita start
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita status
● fajita.service - fajita service
Loaded: loaded (/lib/systemd/system/fajita.service; enabled;
vendor preset: enabled)
Active: active (running) since Thu 2020-06-18 17:10:39 -03; 2s ago
Main PID: 13842
Tasks: 6 (limit: 3489)
Memory: 29.6M
CGroup: /system.slice/fajita.service

Listando configurações ativas

Para listar a configuração de cada sistema proxy, utilize o argumento –show para cada sistema.

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita --show
The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: true

mt4adm@vmdf-giskard:~$ sudo orbit proxy jumpserver --show
The Consumer Key: c97c7f976153753b1065a57214853dc5630436c0
The Token: 150cd77aba427d4e4de5ce070b4c5dfe526c941b
Access proxy language: en_US
SUDO automation: True

mt4adm@vmdf-giskard:~$ sudo orbit proxy rdpgate --show
The Consumer Key: ea3d21730571e3ba03ba9812e2579bd0b439643b
The Token: 16c017bb51d2581f7f4eea9c5d851d8fe1d6c10c
Access proxy language: en_US
RDP encryption level: high
Security Layer: rdp
SSL Ptotocols:
TLS Ciphers:

mt4adm@vmdf-giskard:~$ sudo orbit proxy nss --show
The Consumer Key: "a4d63bc9392880fc24358795c9f1615164d4dfa4"
The Token: "40f1d439fd38466fe4bd61e9c96330541d258f04"

Alterando o idioma

Para alterar o idioma de um sistema proxy, utilize o argumento –language. Reinicie o proxy após a configuração.

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita --language="en_US"
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: false

Habilitando uso do SUDO Automatizado

caution

Essa feature está disponível apenas para os proxies senhasegura Web Proxy ou senhasegura Terminal Proxy .

A ativação em um sistema não é refletida no outro.

A segregação desta funcionalidade através da interface Web diz respeito ao uso durante a sessão dentro dos critérios de segurança dos grupos de acesso, dispositivos e credenciais. Mas se a funcionalidade estiver inativa no sistema proxy, o usuário não conseguirá executar a elevação automatizada independente se ele tem a permissão necessária.

Utilize o argumento –enable-sudo para permitir o uso de SUDO automatizado nos proxies senhasegura Web Proxy ou senhasegura Terminal Proxy . Reinicie o proxy após a configuração.

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita  
--enable-sudo=false
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: false

Bloqueando e Habilitando a interface do navegador embedado

O navegador embedado que permite acesso proxy a páginas Web pode ter sua interface bloqueada ou habilitada ao usuários.

caution

Habilitando a interface os usuários poderão abrir novas abas e acessar outros sistemas além daquele que a credencial lhe garante acesso.

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita  
--fajita-unblock-interface
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita
--fajita-block-interface
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y

Determinando o nível de criptografia RDP

Para sistemas proxy que lidam com protocolo RDP você pode determinar o nível de criptografia da conexão. Reinicie o proxy após a configuração.

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita  
--rdp-encryption=low
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: false

mt4adm@vmdf-giskard:~$ sudo orbit proxy rdpgate
--rdp-encryption=high
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y
The Consumer Key: ea3d21730571e3ba03ba9812e2579bd0b439643b
The Token: 16c017bb51d2581f7f4eea9c5d851d8fe1d6c10c
Access proxy language: en_US
RDP encryption level: high
Security Layer: rdp
SSL Ptotocols:
TLS Ciphers:

Configurando o token WebService A2A para um sistema

As chaves de autenticação WebService A2A dos sitemas proxy podem ser determinadas através dos argumentos –api-cons e –api-token. Reinicie o proxy após a configuração.

mt4adm@vmdf-giskard:~$ sudo orbit proxy fajita  
--api-cons=88122cce2d14d5cbd57f77c552e80843d97ff4be
--api-token=b25abee1b365458a9d719608bda85f6eb4900885
The application services will be stopped or restarted during the process.
Are you sure you want to proceed: y

The Consumer Key: 88122cce2d14d5cbd57f77c552e80843d97ff4be
The Token: b25abee1b365458a9d719608bda85f6eb4900885
Access proxy language: en_US
SUDO automation: false

Gestão de aplicações WebService A2A

As aplicações WebService A2A possuem características de segurança que só podem ser administradas através do Orbit Command Line.

mt4adm@vmdf-giskard:~$ sudo orbit api --help
Usage: orbit api <cmd>

A2A settings tools.

Arguments:
<cmd> Configuration option: [forward]

Flags:
-h, --help Show context-sensitive help.

-a, --allowed-origns=ALLOWED-ORIGNS,... Allowed Origns servers list
--enable
--disable
--show

Permitindo IPs de proxy ou loadbalancer

Caso um sistema proxy ou loadbalancer esteja sendo utilizado, o senhasegura irá observar e identificar o cliente solicitante através da variável X-Forwarded-For. Nestes casos, o IP permitido do token WebService A2A deve permanecer sendo o IP da aplicação, mas você deve registrar o IP do proxy/loadbalancer através do comando forward.

mt4adm@vmdf-giskard:~$ sudo orbit api forward -a 192.168.10.5
mt4adm@vmdf-giskard:~$ sudo orbit api forward --enable
mt4adm@vmdf-giskard:~$ sudo orbit api forward --show
Status Enable
Allowed Origns 192.168.10.5

Você pode adicionar mais IPs separados por vírgula. E para inativar, basta utilizar a opção disable.

mt4adm@vmdf-giskard:~$ sudo orbit api forward -a 192.168.10.5,192.168.10.6
mt4adm@vmdf-giskard:~$ sudo orbit api forward --enable
mt4adm@vmdf-giskard:~$ sudo orbit api forward --show
Status Enable
Allowed Origns 192.168.10.5,192.168.10.6

mt4adm@vmdf-giskard:~$ sudo orbit api forward --disable
mt4adm@vmdf-giskard:~$ sudo orbit api forward --show
Status Disable
Allowed Origns 192.168.10.5,192.168.10.6

Execução manual dos serviços de senhasegura

Os serviços de senhasegura são responsáveis pela execução das tarefas assimétricas de todos os módulos de senhasegura .

Por padrão, somente a primeira instância de cluster tem condição e permissão para executar todos os serviços. Os outros membros do cluster só podem executar tarefas relacionadas aos módulos operacionais. Tarefas relacionadas a backup e chave mestra só podem ser executadas pelo membro principal.

Se você precisar executar manualmente um serviço para ver seu comportamento ou depuração, use o seguinte comando na instância principal.

mt4adm@vmdf-giskard:~$ sudo orbit execution
Usage: orbit execution --code=STRING

Application execution process tool.

Flags:
-h, --help Show context-sensitive help.

-c, --code=STRING The Execution Process ID
-t, --task=STRING The Execution Task ID
-o, --option=STRING The Execution Process extra options
-v, --verbose Enable verbose mode
-d, --debug Enable debug mode
--force Force the command execution, never prompt

O parâmetro código é o ID do serviço numérico, listado em Configurações ➔ Processos de execução ➔ Processos.

O parâmetro tarefa só pode ser usado se o serviço alvo tiver uma tarefa programada no relatório Configurações ➔ Serviços ➔ Robôs e tarefas ➔ Tarefas.

As bandeiras verbose e debug aumentarão a saída do procedimento, dando mais detalhes sobre a operação.

mt4adm@vmdf-giskard:~$ sudo orbit execution --code 56 --verbose --debug
[2021-01-10 20:55:48 9.34Mb]: Preparing execution. PID 13158
[2021-01-10 20:55:49 9.84Mb]: Starting the change schedule for expired passwords
[2021-01-10 20:55:49 10.17Mb]: Finished
[2021-01-10 20:55:49 10.16Mb]: Finishing PID 13158
mt4adm@vmdf-giskard:~$

Configurando Domum Gateway

Utilizando o comando orbit domum-gateway você pode definir as configurações do gateway do modulo Domum.

mt4adm@vmdf-giskard:~$  sudo orbit domum-gateway -h
Usage: orbit domum-gateway <action>

Domum Gateway settings tools

Arguments:
<action> Domum gateway action: [challenge|setup|rotate|status]

Flags:
-h, --help Show context-sensitive help.

-a, --activation=STRING Activation string
-c, --challenge=STRING Challenge string
--force Force the command execution, never prompt
--show

Para listar o estado atual da comunicação da instância senhasegura com o Domum Gateway utilize o comando –show ou status

mt4adm@vmdf-giskard:~$ sudo orbit domum-gateway status

Connection with Domum Gateway is UP!

PING 16.202.217.165 (16.202.217.165) 56(84) bytes of data.
64 bytes from 16.202.217.165: icmp_seq=1 ttl=64 time=48.5 ms
64 bytes from 16.202.217.165: icmp_seq=2 ttl=64 time=48.5 ms
64 bytes from 16.202.217.165: icmp_seq=3 ttl=64 time=48.7 ms
64 bytes from 16.202.217.165: icmp_seq=4 ttl=64 time=48.4 ms
64 bytes from 16.202.217.165: icmp_seq=5 ttl=64 time=53.4 ms

--- 169.254.251.125 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 9ms
rtt min/avg/max/mdev = 48.403/49.489/53.356/1.950 ms

interface: Domum
public key: 3pnqyBznY9Jxise6PneZRALBJwUfgASTpkUVtHOV6VU=
private key: (hidden)
listening port: 46008

peer: Z+yzMY4Z9kcA1FfaCEu5dXk+qR4ke73jhspDKjAuswg=
endpoint: 52.27.111.109:51820
allowed ips: 16.202.217.165/32
latest handshake: 15 seconds ago
transfer: 2.23 KiB received, 2.29 KiB sent
persistent keepalive: every 25 seconds

Se nenhuma configuração tenha sido realizada o comando imprimirá uma mensagem de erro:

mt4adm@vmdf-giskard:~$  sudo orbit domum-gateway status
This instance is not connect to any Domum Gateway
Setup needed

Para configurar o Domum Gateway utilize primeiro o argumento challenge, essa ação irá gerar um certificado único para a instância que deve ser enviado para nossa equipe de Suporte, que realizará a configuração entre a VPN da empresa contratante e o Domum Gateway.

mt4adm@vmdf-giskard:~$  sudo orbit domum-gateway challenge

Are you sure you want to proceed: y█
Your Domum gateway challenge
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=

Em seguida nossa equipe enviará uma string de configuração, com essa string em mãos, cole junto ao argumento setup –activation.

mt4adm@vmdf-giskard:~$  sudo orbit domum-gateway setup --activation=MIIFgQYJKoZIhvcNAQcDoIIFcjCCBW4CAQAxggJlMIICYQIBADBJMDExDj
AMBgNVBAoMBURvbXVtMR8wHQYDVQQLDBZDaGFsbGVuZ2UgY2VydGlmaWNhdGVzAhR8pMfMd
do7JyqTVkYAdst58YhHkTANBgkqhkiG9w0BAQEFAASCAgAGt7dmmcGLjrX1rFcu+znkpsPo
0ucsKvbe3DeIt5RSsxW5yL6WEPvSeurYZ6wuenfI8p2U+LBATZOQ1bTygWx8V+4+bcrYdoI
uF7RtMKycZwv7oIpceDvWP+XoSfQqHJrXALoY+w1IfeB1KhealdQvr46YpIxZrwE3q5mc4Z
LbjU4pC8awGoJB3TO2dbSjY5PwIvE2Mo7Umu8r8yw1085Rohy8MDz6/eaRjyCdBvysijgqt
VAOf+yi4uUn6At6UkCFDL1Kny6RVlnAhIkuGVA4IJqgh64H9SaG4UtFfhIiSBa9urbj44pL
gjumiZB/rZN+Rjm1NirusrKeIRhg87RgrlebFE26VgFTIRTROLyn3N2c0J3ANXUf4okihti
jcrDAbdOa5B6y65UOB3LwR/bzWLazHnFk9Ddg05SzTLmCNXt1fOv60NieWpew9xyLa34kx5
bFGebbowvkgYGel/llvKiOXSzpi/TpDfqtcHz91NRbmg/mJmisTy61/NDbfVseqoTTCW+s5
4pH+/dt97rhH9HVHcEFtuczM5pe18oGnkXDXv7I3wmkseejaSjm0UnLbfoDNgYb77b1e1W4
nO9DXJt7+u7ziErPzZCg77zly8jZhhXc4BMvh5VcOXINZoXnRcahX/UieIt20KC2uxx0Rfu
mWd09aC8IpBuhkH/d0TCCAv4GCSqGSIb3DQEHATAdBglghkgBZQMEASoEEG3p8x0CI5FvmI
zDivfC52mAggLQhELSTxX/wfNg4p/Gj/9HN4l6THmQ8cHe5GcMO2PfVz7Wy3geoLC5pMByu
zvI3l+2vAcaLfwT7/ZZDCVsIZHbFM7hV5BHSWN8oAFzdgtZgKBqgD/khOEXdRnsSSItU5Te
p6ZO6Qp4VgFUH/OEWfEgpW4T3cas1e6FR/bBlxIlLFIme1KRRi2l8XyfexQ1080EDbmnZPc
iCC3kkT30BsULdOru3uSqf5MGH4R2upH9aTzPIQIZFN+KhezfZO3wOEmAD6kwysPEn0efKa
1tjeYG72Qj9xc8Bb1SqcBzZwm3Cjgx9MtsKxiCSa3D3dfekOdnmi+F9Wo+wfqkM7CnOLR/c
+NF5r1mCjWVvoX3ztuMaTl+rhHHyjWRjHEGFpC4c8h0AVFdKN7PPOOAmEbA/svELuyz2Hcc
PV5wQ67M4nceCICysNHqm8EyGAMGJ1FOElYg4c3+Hsg9s4D83qaDoNUa7nJOfTvcMGgPrCY
2OIM/Mrw6xhkxkx4mJ0fCTN7i+JIDGD8r2TcGQemsQ+GuNDffG6OhSoJlLNLFRfCX9cJaOq
Ab2oCv3u5s/Q64Qho1qTCBfmdDzxVt7DmiyOUXjMwJQpwmVwMHfELpipj8t6HR/DEt6uZJM
eLQjtO03MasC2tR0gcOEbpadTUjeEASnsVuYlBC8P9x7yKacjmiPtgWXva9qaymtwfGsgIY
gqKPm/P3b9rjhC/Bq4kXjsOPu/GkorM0RqGAuC5lYRKmUC2tnBbBw/h0Fnw6PQ9yIlLGFRb
llJoQxjGhw4HBWxx0VLwRBH7/A4Wfz7fheWrSTL2udkFanEVLXe5KrubWV8+wJqsyXuGfXz
9PWhqyGB4emlhgDJ9dHuMAlPmOtVdfrP93OG5S4OvBfgKU+1As8CuBPkvIIepm2Bry80QvB
dhweWFu5R+VNjo+qoTWN4TvT/RmbNOu+YK81TSCiAW4oP3wv7Hw

Are you sure you want to proceed: y█
Done!
No errors reported

Com esses passos a configuração terá sido concluída.

Uma vez configurado a instância com o gateway, você poderá solicitar que as chaves sejam alteradas.

Para realizar um rotacionamento utilize o argumento rotate.

caution

Ao utilizar esse argumento você irá reiniciar todas as conexões ativas.

mt4adm@vmdf-giskard:~$ sudo orbit domum-gateway rotate

Are you sure you want to proceed: y█
Connection with Domum Gateway is UP!

PING 16.202.217.165 (16.202.217.165) 56(84) bytes of data.
64 bytes from 16.202.217.165: icmp_seq=1 ttl=64 time=48.0 ms
64 bytes from 16.202.217.165: icmp_seq=2 ttl=64 time=48.0 ms
64 bytes from 16.202.217.165: icmp_seq=3 ttl=64 time=48.1 ms
64 bytes from 16.202.217.165: icmp_seq=4 ttl=64 time=48.2 ms
64 bytes from 16.202.217.165: icmp_seq=5 ttl=64 time=47.6 ms

--- 16.202.217.165 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 8ms
rtt min/avg/max/mdev = 47.581/47.977/48.220/0.352 ms

interface: Domum
public key: KTucX7gwxCCGKzuU63DccQ/J5eQtGkSEoCnQ+K+s4C8=
private key: (hidden)
listening port: 49538

peer: 7CqAnT/YsFnqCBQRbwybeIB4C6XMh6BcIQGBjDhfxgo=
endpoint: 52.27.111.109:51820
allowed ips: 16.202.217.165/32
latest handshake: 5 seconds ago
transfer: 828 B received, 1.42 KiB sent
persistent keepalive: every 25 seconds
mt4adm@vmdf-giskard:~$