############################
Рекомендации по безопасности
############################

Безопасность операционной системы
=================================

В целях обеспечения безопасности комплекса PromUC рекомендуются ресурсы:

* О РЕКОМЕНДАЦИЯХ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОЙ НАСТРОЙКИ ОПЕРАЦИОННЫХ СИСТЕМ LINUX ФСТЭК России от 30 декабря 2022 г. N 240/22/6933 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933


Защищённые соединения
=====================

Для взаимодействия с сервисами PromUC используется протокол HTTPS. В промышленной среде рекомендуется использовать выделенный сервис "Центр сертификации". PromUC позволяет использовать "ключевую пару" сформированную в инфраструктуре заказчика.

Сетевое взаимодействие
======================

Рекомендуется использование PromUC в выделенном сетевом сегменте. Допускается применение локального программного файервола с использованием ПО iptables, ufw и др. Используемые порты и протоколы:

.. list-table:: Используемые сетевые tcp-порты
   :widths: 15 15 10 10
   :header-rows: 1

   * - **Сервис**
     - **Контейнер публикации порта**
     - **Порты**
     - **Контейнер назначения**
   * - Веб-доступ к сервисам
     - traefik 
     - 443
     - framework, gitea, ruleengine, gis, rabbit1, pgadmin, portainer
   * - Обновление сертификатов ACME
     - traefik
     - 80
     - traefik
   * - RabbitMQ
     - traefik 
     - 1883, 15675, 15676
     - rabbit
   * - PromUC RuleEngine
     - traefik
     - 5554, 5555, 7777
     - ruleengine

Обновление ПО операционной системы
==================================

Для эксплуатации в промышленной среде рекомендуется использовать опреационную систему с длительным сроком сопровождения, обеспечивающее регулярные обновления безопасности ПО. Регулярно выполняйте обновление программного обеспечения операционной системы с установленным комплексом Promuc. Рекомендуется предварительно выполнять резервное копирование данных Promuc и останавливать сервисы PromUC.

.. code-block:: console

  ./do.sh -r --all down
  apt update
  apt upgrade
  ./do.sh --all up -d

Обновление сервисов PromUC
==========================

Рекомендуется регулярно проводить обновление сервисов PromUC. Подробнее в разделе :doc:`Обновление системы`.

Резервное копирование
=====================

Резервное копирование выполняется средствами заказчика.

Объекты резервного копирования:

* каталог установки системы с файлами и подпапками
* тома docker:

  * framework_config
  * gitea_gitea
  * gitea_gitea-ini
  * gitea_gitea-postgres
  * gitea_act_runner
  * portainer_volume
  * postgres_postgres
  * promuc_storage