コックピットでサーバーを監視するための最小要件
私は最近、さまざまなDebianサーバーでコックピットをテストしていて、今のところ気に入っています。私が抱えている問題の1つは、デフォルトで開いているポート9090が作成されることです。そのポートを世界に公開したくないのですが、要塞サーバーは動的IP上にあります。
リモートサーバーにCockpitをインストールしてから、systemctl stop cockpit.socketを実行して機能させることができることに気付きました...しかし、メインサーバーからの過去の切断はできません。
私が知りたいのは、コックピットがインストールされていない(推奨される)リモートDebianサーバーにのみコックピットが接続できるようにするため、またはコックピットのWebインターフェイスがパブリックインターフェイスで機能しないように制限するために必要な最小構成は何ですか。
コックピットのドキュメントでは、 cockpit.socket systemd unitをオーバーライドする 方法を説明しています。必要に応じてリッスンアドレスを設定します。
たとえば、次のものを含むオーバーライドファイル/etc/systemd/system/cockpit.socket.d/listen.confを作成できます。
[Socket]
ListenStream=
ListenStream=192.168.35.81:9090
最初のListenStream=により、以前に定義されたListenStream=ディレクティブはすべて破棄されます。その後、2番目のListenStream=に置き換えられます。
外部インターフェイスのIPアドレスではなく、内部インターフェイスのIPアドレスを使用します。
もちろん、ポート9090を任意の方法でファイアウォールで保護して、同様の効果を実現することもできます。