簡介
Mavis 為一套特權帳號管理(Privileged Access Management, PAM)系統,提供特權帳號集中管理、存取控管、操作稽核與安全治理等功能。
為滿足高資安等級與封閉網路環境之需求,Mavis 提供離線安裝版本(Offline / Isolated Deployment),可部署於無對外網路連線或嚴格網路隔離的環境中。
Mavis 離線版可在完全不連接 Internet 或任何外部雲端服務的情況下運作,所有系統功能、帳號資料、稽核紀錄與設定皆儲存於客戶內部環境中,有效降低外部攻擊面,並符合政府機關、金融機構及關鍵基礎設施對於資安與法規遵循之要求。
本版本適用於下列情境:
封閉網路(Air-gapped Network)或內外網嚴格隔離環境
禁止系統對外連線之資安政策
需符合資安法規、內部稽核或第三方審查要求
Mavis 離線版之安裝、授權、更新與維運皆採人工匯入與管理機制,不依賴任何線上驗證或自動更新服務,確保系統在高安全環境下仍可穩定運作。
安裝離線版前,請先確認環境已依照《準備事項手冊》完成相關設定並符合系統需求。
單台離線版
1. 架構說明
本章節說明如何於無對外網路(Air-Gap)環境中,完成 Mavis PAM 單台離線版系統的安裝。
此架構適用於:
單一節點部署
無高可用(HA)需求
-
嚴格內網或政府/金融機構封閉環境
2. 安裝前準備事項
2.1 環境需求
已建置完成之 Mavis Server(Ubuntu)
可使用
root或具備等同權限之帳號
2.2 憑證準備(必要)
請事先準備對應 Mavis 服務網域之 SSL 憑證,並確認以下檔案已備妥:
tls.crt:SSL 憑證檔-
tls.key:SSL 私鑰檔⚠️ 注意:憑證檔案需於後續安裝目錄中使用,請確保憑證有效且網域名稱與實際存取 Mavis 之 URL 一致。
3. 下載與同步離線安裝檔
請先於可對外連線之環境下載 Mavis 離線安裝檔,並同步至 Mavis Server。
wget https://pentium-repo.s3.ap-northeast-1.amazonaws.com/mavis/2.2.8/airgap/mavis-airgap-2.2.8.tar.gz4. 解壓縮離線安裝檔
於 Mavis Server 上執行以下指令,解壓縮安裝檔:
tar -zxvf mavis-airgap-2.2.8.tar.gz解壓完成後,將產生 airgap/ 目錄,內含安裝所需腳本與映像檔。
5. 安裝目錄與憑證確認
5.1 切換至安裝目錄
cd airgap5.2 確認 SSL 憑證位置
請確認以下檔案已放置於目前目錄中:
⚠️ 若憑證未放置於正確目錄,安裝程序將無法正常啟動 HTTPS 服務。
6. 設定安裝參數
6.1 設定 Mavis 服務網域名稱
請設定實際提供服務之 Mavis URL(需與 SSL 憑證一致):
MAVIS_URL=<MAVIS_URL>範例:
MAVIS_URL=pentium.mavisgov.it.com
6.2 設定遠端安裝路徑
指定 Mavis 安裝所使用之使用者 Home 目錄(通常為 root):
REMOTE_HOME=${REMOTE_HOME}範例:
REMOTE_HOME=/root
7. 執行單台離線版安裝
確認以上設定完成後,執行以下指令開始安裝:
REMOTE_HOME=${REMOTE_HOME} bash ./airgap.sh --mavis_url=${MAVIS_URL}安裝過程中系統將自動:
載入離線映像檔
建立並啟動 Mavis 服務
套用 SSL 憑證設定
出現「K3s Airgap Installation Complete!」訊息即代表安裝完成,後續可使用瀏覽器連線至 Mavis URL 存取系統服務。
8. 安裝完成確認
安裝完成後,請使用瀏覽器連線至 MAVIS_URL,並以預設帳號與密碼登入。
請向指定聯絡窗口索取 Mavis 離線版授權金鑰,並上傳授權檔案完成啟用。
HA 離線版架構
1. 架構說明
本章節說明如何於無對外網路(Air-Gap)環境中,部署 Mavis PAM 高可用(HA)架構。
HA 架構可提供:
服務不中斷(Failover)
系統高可用性
適用於關鍵任務或正式營運環境
本架構採用 Active / Standby 模式,透過多節點部署確保當主要節點發生異常時,服務仍可持續運作。
2. 安裝前準備事項
2.1 環境需求
HA 架構需準備 三台 Mavis Server,並符合以下條件:
2.1.1 作業系統需求
作業系統:Ubuntu 24.04 LTS(長期維護版本)
-
架構限制:
僅支援 x86_64 / amd64
❌ 不支援 arm64
2.1.2 系統與帳號設定
三台伺服器皆已依照《準備事項手冊》完成設定
使用 相同的登入帳號與密碼
安裝時可使用:
root帳號,或 具備等同權限(sudo)的帳號
2.1.3 網路需求
三台伺服器需位於相同子網域(Subnet)
-
節點彼此之間:
防火牆需完全開放(Ports Fully Open)
可進行雙向通訊(Node-to-Node Communication
⚠️ 注意事項
節點間的網路通訊是 HA 架構正常運作的必要條件
-
若任一節點無法互相連線,將導致:
叢集(Cluster)建立失敗
HA 機制無法正常運作
2.2 SSL 憑證準備(必要)
請事先準備 對應 Mavis 服務網域(Domain) 的 SSL 憑證,並確認以下檔案已存放於 Master Node:
tls.crt:SSL 憑證檔tls.key:SSL 私鑰檔
⚠️ 注意事項
SSL 憑證檔案 僅需放置於 Master Node
其餘節點不需額外上傳憑證
3. 下載並同步離線安裝檔
請先於可對外連線的環境下載 Mavis 離線安裝檔,並將檔案同步至三台 Mavis Server。
wget https://pentium-repo.s3.ap-northeast-1.amazonaws.com/mavis/2.2.8/airgap/mavis-airgap-2.2.8.tar.gz
4. 解壓縮離線安裝檔
請於 Mavis Master Node 上執行以下指令進行解壓縮:
tar -zxvf mavis-airgap-2.2.8.tar.gz解壓完成後,將產生 airgap 目錄,內含:
安裝腳本
所需離線映像檔(Images)
5. 安裝目錄與憑證確認
5.1 切換至安裝目錄
cd airgap5.2 確認 SSL 憑證位置
請確認以下檔案已放置於目前目錄中:
tls.crttls.key
⚠️ 注意事項
-
若 SSL 憑證未放置於正確目錄:
HTTPS 服務將無法正常啟動
安裝流程可能中斷或失敗
6. 設定安裝參數
6.1 設定 Mavis 服務網域名稱
請設定實際提供服務的 Mavis URL,此網域需與 SSL 憑證內容完全一致。
MAVIS_URL=<MAVIS_URL>範例:
MAVIS_URL=pentium.mavisgov.it.com6.2 設定遠端安裝路徑
指定 Mavis 安裝時使用的 使用者 Home 目錄(通常為 root):
REMOTE_HOME=${REMOTE_HOME}範例:
REMOTE_HOME=/root
7. 執行 HA 離線版安裝
完成上述設定後,請於 Master Node 執行以下指令開始 HA 架構安裝:
REMOTE_HOME=${REMOTE_HOME} bash ./airgap.sh --mavis_url=${MAVIS_URL} --cluster安裝過程中,系統將自動完成以下作業:
載入所有離線映像檔
建立並初始化 Mavis 叢集(Cluster)
啟動 Mavis 服務
套用並啟用 SSL 憑證(HTTPS)
7.1 節點 IP 設定
當安裝程序進行至節點設定階段時,系統將依序提示輸入 三台節點的 IP 位址及登入帳號、密碼。
Master Node IP:輸入主要節點的 IP 位址。
Second Node IP:輸入第二台節點的 IP 位址。
Third Node IP:輸入第三台節點的 IP 位址。
每輸入一個 IP 位址後,請按下 Enter 鍵,系統將自動進入下一個節點的設定。
當安裝程序結束後,畫面顯示以上訊息,表示 Mavis 已成功完成安裝。
--------- Install Server success , please check it
--------- Your SERVER_URL is [https://pentium.mavisgov.it.com]
--------- Your default account and password is [admin/admin]安裝完成後,系統將自動於 三節點的 k3s Cluster 中部署一個 共用的 Local Registry 服務,供叢集內各節點使用,以支援離線環境下的映像檔管理與服務運作。
8. 安裝完成確認
安裝完成後,請使用瀏覽器連線至 MAVIS_URL,並以預設帳號與密碼登入。
請向指定聯絡窗口索取 Mavis 離線版授權金鑰,並上傳授權檔案完成啟用。