При настройке серверной части Postgres ProGate обеспечьте соответствие параметров в файле окружения или конфигурации требованиям, изложенным в Таблице 6.1. Эта таблица включает параметры безопасности из Таблицы 3.1, а также параметры nginx.
Таблица 6.1. Требования к параметрам безопасности Postgres ProGate
| Параметр конфигурации | Переменная окружения | Описание | Допустимое значение |
|---|---|---|---|
auth.access_token_lifetime | PROGATE_AUTH_ACCESS_TOKEN_LIFETIME | Время жизни токена доступа веб-интерфейса | Не более 30m |
auth.refresh_token_lifetime | PROGATE_AUTH_REFRESH_TOKEN_LIFETIME | Время жизни токена обновления доступа веб-интерфейса | Не более 720h |
password_policy.history_depth | PROGATE_PASSWORD_POLICY_HISTORY_DEPTH | Глубина истории паролей, т. е. количество последних паролей, проверяемых при смене пароля | Не менее 5 |
password_policy.lifetime | PROGATE_PASSWORD_POLICY_LIFETIME | Время жизни пароля пользователя | Не более 2160h (90 дней) |
password_policy.max_failed_attempts | PROGATE_PASSWORD_POLICY_MAX_FAILED_ATTEMPTS | Количество неудачных попыток ввода пароля пользователем, после которых временно блокируется учётная запись | Не более 3 |
password_policy.block_duration | PROGATE_PASSWORD_POLICY_BLOCK_DURATION | Продолжительность блокировки учётной записи после ввода некорректных паролей | Не менее 15m |
http_server.enable_debug_endpoints | PROGATE_HTTP_SERVER_ENABLE_DEBUG_ENDPOINTS | Включает отладочные конечные точки (endpoints) приложения | false |
Выполните настройку серверной части Postgres ProGate, ограничивающую сетевую доступность.
Чтобы ограничить список прослушиваемых интерфейсов, установите следующий параметр конфигурации:
| Параметр конфигурации | Переменная окружения | Описание | Рекомендуемое значение |
|---|---|---|---|
http_server.host | PROGATE_HTTP_SERVER_HOST | IP-адрес, на котором запускается серверная часть | 127.0.0.1 |
Если параметр задан таким образом, прямой сетевой доступ к серверной части Postgres ProGate невозможен.
При необходимости установки веб-сервера для работы на отдельном сервере обеспечьте невозможность доступа к порту, заданному значением параметра конфигурации http_server.port, или переменной окружения PROGATE_HTTP_SERVER_PORT, с любого сетевого адреса, кроме адреса сервера, на котором установлен веб-сервер.
Например, если веб-сервер установлен на сервер с адресом 192.168.1.123 и задано значение PROGATE_HTTP_SERVER_PORT: 8081, сетевой доступ к серверной части Postgres ProGate можно ограничить командой:
iptables -A INPUT -p tcp --dport 8081 ! -s 192.168.1.123 -j DROP
При использовании приложений командной строки без графического интерфейса, чтобы отправить статистику выполнения задач и событий аудита в серверную часть, добавьте следующие значения в файл конфигурации глобальных переменных окружения /etc/environment:
PROGATE_PROGRESS_ENABLED=true PROGATE_REPORT_ENABLED=true