Предварительные требования
Системные требования
🖥️ Серверный компонент (NB Core)
| ОС | Windows Server 2016/2019/2022 Astra Linux SE 1.7+ RHEL 8/9, Debian 11/12 |
| CPU | x86-64, минимум 4 ядра (рек. 8+) |
| RAM | Минимум 8 ГБ (рек. 16 ГБ) |
| Диск | SSD 80 ГБ под ОС + хранилище |
| Сеть | 1 GbE (рек. 10 GbE для > 100 узлов) |
| HSM (опц.) | КриптоПро HSM 2.0, Thales Luna |
💻 Клиентский компонент (NB Agent)
| ОС | Windows 10/11, Windows Server Astra Linux, Ubuntu 20.04+ |
| CPU | x86-64, минимум 2 ядра |
| RAM | Минимум 2 ГБ (рек. 4 ГБ) |
| Диск | 500 МБ для ПО + кэш |
| CSP | КриптоПро CSP 5.0+ (рек.) |
| .NET / Java | .NET 6.0+ или JRE 17+ |
ℹ️
Для Air-gap развёртывания все установочные пакеты доступны в виде автономного архива без необходимости выхода в интернет. Обновления поставляются через защищённый offline-канал.
Установка
Установка NexusBridge Core
Следующие шаги описывают стандартную процедуру установки серверного компонента на Linux (Astra Linux SE 1.7). Для Windows Server процедура аналогична с использованием PowerShell.
1. Загрузка и верификация пакета
# Загрузка дистрибутива (в изолированной среде — скопировать с носителя)
wget https://repo.nexusbridge.ru/packages/nexusbridge-core_4.2.0_amd64.deb
wget https://repo.nexusbridge.ru/packages/nexusbridge-core_4.2.0_amd64.deb.sig
# Верификация цифровой подписи пакета (ГОСТ)
nexus-verify --sig nexusbridge-core_4.2.0_amd64.deb.sig \
--pkg nexusbridge-core_4.2.0_amd64.deb \
--pubkey /usr/share/nexusbridge/signing.crt
2. Установка пакета и зависимостей
# Установка пакета
sudo dpkg -i nexusbridge-core_4.2.0_amd64.deb
# Установка зависимостей (если требуется)
sudo apt-get install -f
# Проверка установки
nexusctl --version
# → NexusBridge Core 4.2.0 (build 20250115)
3. Первичная инициализация
# Запуск мастера первичной настройки
sudo nexusctl init \
--node-name "corp-nexus-01" \
--domain "corp.example.ru" \
--listen-port 7443 \
--encryption "gost-kuznyechik-ctr" \
--generate-keypair \
--admin-email "admin@corp.example.ru"
# Вывод после инициализации:
# [✓] Ключевая пара сгенерирована: /etc/nexusbridge/keys/
# [✓] TLS-сертификат создан
# [✓] База данных инициализирована
# [✓] Служба nexusbridge настроена
# Включение и запуск службы
sudo systemctl enable --now nexusbridge
sudo systemctl status nexusbridge
Конфигурация
Файл конфигурации
Основной файл конфигурации расположен по пути /etc/nexusbridge/nexusbridge.yml
/etc/nexusbridge/nexusbridge.yml
# NexusBridge Enterprise — основная конфигурация
node:
name: "corp-nexus-01"
domain: "corp.example.ru"
listen:
address: "0.0.0.0"
port: 7443
security:
encryption: "gost-kuznyechik-ctr" # или gost-magma-ctr, aes-256-gcm
integrity: "streebog-256" # HMAC на базе Стрибог
key_rotation_days: 90 # Ротация ключей каждые N дней
pfs: true # Perfect Forward Secrecy
min_tls_version: "1.3"
mtls: true # Обязательная mTLS аутентификация
directory:
type: "active_directory" # ldap | active_directory | local
server: "ldap://dc01.corp.example.ru"
base_dn: "DC=corp,DC=example,DC=ru"
bind_dn: "CN=nexusbridge,OU=ServiceAccounts,DC=corp,DC=example,DC=ru"
bind_password_env: "NB_LDAP_PASSWORD" # Из переменной окружения
user_filter: "(&(objectClass=user)(memberOf=CN=NexusBridgeUsers,OU=Groups,DC=corp,DC=example,DC=ru))"
storage:
path: "/var/lib/nexusbridge/data"
encryption_at_rest: true
max_file_size_gb: 0 # 0 = без ограничений
retention_days: 365 # Срок хранения документов
audit:
enabled: true
worm: true # Неизменяемые логи
siem:
enabled: true
protocol: "syslog-tls"
server: "siem.corp.example.ru:6514"
format: "cef" # cef | leef | json
cluster:
enabled: false # Кластерный режим HA
peers: []
Active Directory
Интеграция с Active Directory
1
Создание сервисной учётной записи
В Active Directory создайте сервисную учётную запись nexusbridge-svc с минимальными правами на чтение директории. Запретите смену пароля и установите пароль без срока действия.
2
Создание групп безопасности
Создайте группы в AD: NexusBridgeUsers (все пользователи), NexusBridgeAdmins (администраторы), NexusBridgeAuditors (аудиторы). Членство в группах определяет уровень доступа в системе.
3
Настройка LDAP-подключения
Укажите параметры LDAP-сервера в конфигурационном файле. Рекомендуется использовать LDAP over SSL (LDAPS, порт 636) или STARTTLS для защиты учётных данных сервисной записи.
4
Проверка подключения
Тест подключения к AD
nexusctl ad test-connection
# → [✓] LDAP-подключение: dc01.corp.example.ru:636
# → [✓] Аутентификация сервисной записи: OK
# → [✓] Найдено пользователей: 248
# → [✓] Найдено групп NexusBridge: 3
nexusctl ad sync --dry-run
# → Будет импортировано: 248 пользователей, 3 группы
Сетевые требования
Порты и сетевые правила
| Порт | Протокол | Направление | Назначение |
|---|---|---|---|
| 7443 | TCP | Входящий на Core | Основной туннельный трафик (mTLS) |
| 7080 | TCP | Входящий на Core | Веб-консоль администратора (HTTP → HTTPS) |
| 7444 | TCP | Входящий на Core | REST API (mTLS) |
| 636 | TCP | Исходящий к AD | LDAPS (Active Directory) |
| 6514 | TCP | Исходящий к SIEM | Syslog TLS к SIEM-системе |
| 123 | UDP | Исходящий к NTP | Синхронизация времени (корп. NTP) |
ℹ️
Важно: NexusBridge не требует исходящих подключений к интернету. Все перечисленные порты работают исключительно внутри корпоративной сети. Для Air-gap контуров NTP-синхронизация выполняется с внутреннего сервера времени организации.
Справочник команд
CLI-утилита nexusctl
| Команда | Описание |
|---|---|
nexusctl status | Статус всех узлов и туннелей |
nexusctl node list | Список зарегистрированных узлов |
nexusctl node add <name> | Регистрация нового узла |
nexusctl node remove <name> | Удаление узла из контура |
nexusctl tunnel list | Список активных туннелей |
nexusctl tunnel create <from> <to> | Создание туннеля между узлами |
nexusctl tunnel revoke <id> | Отзыв туннельного соединения |
nexusctl user list | Список пользователей системы |
nexusctl user sync | Принудительная синхронизация с AD |
nexusctl cert rotate | Принудительная ротация сертификатов |
nexusctl audit export | Экспорт журнала аудита |
nexusctl backup create | Создание резервной копии конфигурации |
nexusctl upgrade check | Проверка доступных обновлений (offline) |
Диагностика
Коды ошибок
| Код | Описание | Действие |
|---|---|---|
NB-0001 | Ошибка аутентификации узла | Проверьте сертификат X.509 и срок его действия |
NB-0010 | Недействительная лицензия | Выполните повторную активацию командой nexusctl license activate |
NB-0020 | Ошибка подключения к LDAP | Проверьте доступность AD-сервера и учётные данные сервисной записи |
NB-0030 | Ошибка согласования ключа (VKO) | Убедитесь, что оба узла используют совместимые алгоритмы ГОСТ |
NB-0040 | Расхождение времени > 5 сек. | Синхронизируйте часы узлов с NTP-сервером организации |
NB-0050 | Нарушение целостности пакета | Возможная атака MITM. Немедленно проверьте сетевую инфраструктуру |
NB-0100 | Нет свободного места на диске | Очистите старые файлы или увеличьте объём хранилища |