Рекомендуемые параметры настройки

В данном разделе приводятся примеры параметров, которые рекомендуется использовать в конфигурационных файлах при установке PolyAnalyst Grid. В следующих таблицах для каждого конфигурационного файла приводятся оптимальные значения для каждого параметра, а также приводится дополнительная информация.

padbservice.cfg

Параметр

Рекомендуемый параметр и настройки

Примечание

port

Порт PostgreSQL, отличный от 5432

Так как злоумышленники первым делом сканируют известные порты, рекомендуется менять их на нестандартные.

user

Пользователь, отличный от postgres

Встроенная учетная запись postgres является супер-пользователем в PostgreSQL. Для большей безопасности лучше завести нового, непривилегированного пользователя.

password

Пароль, содержащий заглавные и строчные буквы, цифры или другие символы (всего не менее восьми символов)

Слабые пароли, например, состоящие просто из словарных слов, подвержены атаке перебором.

service_name

Рекомендуется настраивать поддержку протокола аутентификации Kerberos

Kerberos используется как для аутентификации в LDAP каталоге, так и для авторизованного подключения к HDFS и другим сервисам.

keytab_path

krb5conf_path realm

log_level

Значение 3 или меньше

Использовать уровни журналирования больше трех не рекомендуется, так как предупреждения аудита выводятся под уровнем 3.

under_development

Значение по умолчанию false

Отладочная настройка. Включает еще незавершенную и неотлаженную функциональность, что может повлечь деструктивные последствия.

logarch

Поменять значение на true

Централизованное хранение журналов в базе облегчает анализ логов и разбор ситуаций.

crash_me

Значение по умолчанию false

Отладочная настройка. Приводит к аварийному завершению процесса сразу после запуска. Может быть использована для тестирования создания дампов памяти в системе.

sslmode

verify-ca или verify-full (вместо режима по умолчанию prefer)

Рекомендуем использовать режимы verify-ca и verify-full, поскольку только эти два режима могут обеспечивать защиту от MITM атаки: режим verify-full обеспечивает защиту гарантированно, а режим verify-ca - в зависимости от сертификата PostgreSQL.
paserver.cfg

Параметр

Рекомендуемый параметр и настройки

Примечание

service_name

Рекомендуется настраивать поддержку протокола аутентификации Kerberos

Kerberos используется как для аутентификации в LDAP каталоге, так и для авторизованного подключения к HDFS и другим сервисам.

keytab_path

krb5conf_path

log_level

Значение 3 или меньше

Использовать уровни журналирования больше трех не рекомендуется, так как предупреждения аудита выводятся под уровнем 3.

crash_me

Значение по умолчанию false

Отладочная настройка. Приводит к аварийному завершению процесса сразу после запуска. Может быть использована для тестирования создания дампов памяти в системе.
webengine.cfg

Параметр

Рекомендуемый параметр и настройки

Примечание

http_port

Значение по умолчанию 0 (выключен)

При использовании незащищенного HTTP протокола чувствительная информация, передаваемая с клиента, такая как пароли пользователей, может быть перехвачена. Использование HTTP протокола допустимо только при изоляции веб-сервиса в защищенном контуре за NGINX прокси.

https_port

Рекомендуется к использованию (ненулевое значение)

Использование HTTPs протокола в сочетании с корректным сертификатом, подписанным доверенными центрами сертификации, гарантирует защищенность клиентского трафика.

allow_anonymous_login

Значение по умолчанию false

Отладочная настройка. Разрешает анонимное подключение в обход аутентификации в LDAP. Допустима к использованию только при первоначальной настройке кластера.

session_timeout_minutes

5 минут или меньше

Большой таймаут истечения неактивной пользовательской сессии увеличивает риски несанкционированного доступа под чужой учетной записью.

ldap_host

Рекомендуется использование защищенного ldaps:// протокола

Незащищенный ldap:// протокол допускает перехват чувствительной информации из LDAP директории

ldap_do_not_use_sasl

Значение по умолчанию false

Отключение SASL методов аутентификации и использование SIMPLE BIND приводит к передаче паролей пользователей по сети в открытом виде

ldap_service_password

Пароль, содержащий заглавные и строчные буквы, цифры или другие символы (всего не менее восьми символов)

Слабые пароли, например, состоящие просто из словарных слов, подвержены атаке перебором.
palogarch.cfg

Параметр

Рекомендуемый параметр и настройки

Примечание

port

Порт PostgreSQL, отличный от 5432

Так как злоумышленники первым делом сканируют известные порты, рекомендуется менять их на нестандартные.

user

Пользователь, отличный от postgres

Встроенная учетная запись postgres является супер-пользователем в PostgreSQL. Для большей безопасности лучше завести нового, непривилегированного пользователя.

password

Пароль, содержащий заглавные и строчные буквы, цифры или другие символы (всего не менее восьми символов)

Слабые пароли, например, состоящие просто из словарных слов, подвержены атаке перебором.

log_level

Значение 3 или меньше

Использовать уровни журналирования больше трех не рекомендуется, так как предупреждения аудита выводятся под уровнем 3.

crash_me

Значение по умолчанию false

Отладочная настройка. Приводит к аварийному завершению процесса сразу после запуска. Может быть использована для тестирования создания дампов памяти в системе.

sslmode

verify-ca или verify-full (вместо режима по умолчанию prefer)

Рекомендуем использовать режимы verify-ca и verify-full, поскольку только эти два режима могут обеспечивать защиту от MITM атаки: режим verify-full обеспечивает защиту гарантированно, а режим verify-ca - в зависимости от сертификата PostgreSQL.