Назад | Перейти на главную страницу

Минимальные требования для мониторинга сервера с кабиной

Недавно я тестировал Cockpit с различными серверами Debian, и пока он мне нравится. Одна из моих проблем заключается в том, что он создает порт 9090, который открыт по умолчанию. Я не хочу, чтобы этот порт был открыт для всего мира, но мой сервер-бастион имеет динамический IP.

Я заметил, что могу установить Cockpit на свои удаленные серверы, а затем запустить systemctl stop cockpit.socket и заставить его работать ... Но не прошлые отключения от моего основного сервера.

Я хотел бы знать, какая минимальная конфигурация требуется, чтобы позволить Cockpit подключаться только к удаленным серверам Debian, на которых не установлен Cockpit (предпочтительно), или каким-то образом ограничить веб-интерфейс Cockpit, чтобы он не работал на общедоступных интерфейсах.

Документация кабины объясняет, как переопределить блок cockpit.socket systemd чтобы установить адрес прослушивания по своему усмотрению.

Например, вы можете создать файл переопределения /etc/systemd/system/cockpit.socket.d/listen.conf который содержит:

[Socket]
ListenStream=
ListenStream=192.168.35.81:9090

Первый ListenStream= вызывает любые ранее определенные ListenStream= директивы, которые следует отбросить. Затем они будут заменены вторым ListenStream=.

Вы должны использовать IP-адрес своего внутреннего интерфейса, а не внешнего интерфейса.


Конечно, вы можете также использовать порт 9090 брандмауэра любым способом для достижения аналогичного эффекта.