Недавно я тестировал Cockpit с различными серверами Debian, и пока он мне нравится. Одна из моих проблем заключается в том, что он создает порт 9090, который открыт по умолчанию. Я не хочу, чтобы этот порт был открыт для всего мира, но мой сервер-бастион имеет динамический IP.
Я заметил, что могу установить Cockpit на свои удаленные серверы, а затем запустить systemctl stop cockpit.socket
и заставить его работать ... Но не прошлые отключения от моего основного сервера.
Я хотел бы знать, какая минимальная конфигурация требуется, чтобы позволить Cockpit подключаться только к удаленным серверам Debian, на которых не установлен Cockpit (предпочтительно), или каким-то образом ограничить веб-интерфейс Cockpit, чтобы он не работал на общедоступных интерфейсах.
Документация кабины объясняет, как переопределить блок cockpit.socket systemd чтобы установить адрес прослушивания по своему усмотрению.
Например, вы можете создать файл переопределения /etc/systemd/system/cockpit.socket.d/listen.conf
который содержит:
[Socket]
ListenStream=
ListenStream=192.168.35.81:9090
Первый ListenStream=
вызывает любые ранее определенные ListenStream=
директивы, которые следует отбросить. Затем они будут заменены вторым ListenStream=
.
Вы должны использовать IP-адрес своего внутреннего интерфейса, а не внешнего интерфейса.
Конечно, вы можете также использовать порт 9090 брандмауэра любым способом для достижения аналогичного эффекта.