Сетевая безопасность

В коробочной версии S2ERP открыты (для доступа из Интернета и/или локальной сети) только несколько портов:

ПортКомментарий
22Стандартный порт SSH
80Стандартный порт HTTP
443Стандартный порт HTTPS

Коммуникация между сервисами и базой данных осуществляется через локальный сетевой интерфейс, т.е. НЕ ИСПОЛЬЗУЯ Интернет.

Доступ к портам открывается/закрывается на основе правил, указанных в firewall-е ufw. Данный firewall по-умолчанию установлен и включён для всех коробочных версий S2ERP, но может быть выключен по запросу от клиента.

Также по-умолчанию на сервере установлен Fail2Ban и настроены правила для блокировки IP в случае попыток брутфорса SSH.

Доступ техподдержки S2

Доступ в S2ERP

При первоначальной настройке коробочной версии в S2ERP создается специальный административный аккаунт (обычно с ID = 1) и в нем пользователь-админ s2support@salesap.ru. У данного пользователя НЕТ доступа к данным, хранящимся в аккаунте клиента. Этот пользователь используется только для контроля работоспособности коробочной S2ERP со стороны S2 при обращении клиента в техподдержку.

Также при первоначальной настройке в аккаунте КЛИЕНТА создается пользователь-админ crm@<домен_коробки>. Он может быть использован службой поддержки S2 в случае, если для решения какой-либо проблемы с S2ERP требуется доступ к данным клиента (например, чтобы проверить настройки какого-то дашборда). Клиент может заблокировать данного пользователя и разблокировать его только по запросу от техподдержки S2 для решения конкретной проблемы.

SSH-доступ на сервер коробки

По-умолчанию при настройке сервера SSH-доступ "по паролю" ЗАПРЕЩАЕТСЯ для всех пользователей в целях безопасности.
Для доступа сотрудников S2 на сервер коробки используется пользователь s2support и его приватный SSH-ключ, который доступен только ограниченному кругу сотрудников S2 (ключевым разработчикам/инженерам).

Сотрудники S2 могут зайти на сервер коробки ТОЛЬКО для решения каких-либо проблем пользователя с коробкой/сервером. Как правило, решение проблем на стороне сервера НЕ ТРЕБУЕТ доступа к данным клиента.

Клиент вправе ограничить SSH-доступ сотрудников S2 (например, закрыв SSH-порт через firewall) и предоставлять его только по запросу со стороны S2.

Обобщенное описание настроек безопасности

  • SSH: отключен доступ по пустому паролю (PermitEmptyPasswords no)
  • SSH: отключен доступ по паролю (PasswordAuthentication no)
  • SSH: SSH-порт по-умолчанию (22) может быть переназначен на любой другой доступный порт в целях уменьшения количества попыток bruteforce-а
  • Сервисы: отключен сервис rpcbind (порт 111), т.к. он не требуется для работы S2ERP и может быть использован в хакерских атаках
  • Сервисы: установлен сервис Fail2ban и настроен на блокировку IP после трех неудачных попыток аутентификации по SSH
  • Сервисы: установлен сервис ufw (firewall)
  • Интернет: доступ ко всем web-сервисам из Интернета по-умолчанию осуществляется по протоколу HTTPS (используются автоматически получаемые TLS-сертификаты от LetsEncrypt)

Рекомендации

Клиенту рекомендуется установить и настроить на сервере коробки какую-либо систему (агента) мониторинга: Zabbix, Nagios, Prometheus и др. для контроля и своевременного реагирования на изменения основных параметров сервера: нагрузки на CPU, использования оперативной памяти, места на жестком диске, нагрузки на сетевой интерфейс.