MP510-30 console使用網域會無限重新導向

[vito95311]

MP510-30 console使用網域會無限重新導向

我Port Forwarding的public port設定80

Private port設定9090

附加檔案:

你必須 登入 才能查看附件檔案。

[Huang Jia-Bin]

MP510-30的設計考量是希望提供web介面給系統管理者用browser在遠端就可以管理伺服器，並在browser中提供終端機介面讓管理者可以更深層的管理伺服器。但是這也帶來安全考量上很大的挑戰。只要是掛在外網的伺服器，立刻遭受各種白道、黑道全年無休全天候的攻擊。曾嘗試用Apache2來設計web系統管理介面，但是實在很難避開不將sudo權限給予Apache2的預設使用者www-data，這是很危險的，因此放棄了這個計劃，決定採用Cockpit。Cockpit是Red Hat 和 Fedora 伺服器預設必裝的系統管理介面，推出多年，不斷的改進，安全上經得起考驗。如果有漏洞，立刻被修正補強。因此MP510-30決定採用Cockpit web介面系統管理程式。因為有安全考量，cockpit完全使用自己建立的web socket，整個程式有點複雜：

至於能不能用9090 port forwarding 的方式，我沒有經驗，請你先了解一下Cockpit的相關文獻：

https://cockpit-project.org/guide/latest/listen

https://cockpit-project.org/guide/latest/authentication

還有一個比較省力氣的方法，因為cockpit常更新版本，避開9090 port forwarding，依舊使用Cockpit建議的標準 http://server ip:9090，但是用另外一個MP510安裝成OpenVPN伺服器，從外網透過這個MP510 OpenVPN伺服器連接到 http://server ip:9090。非常鞏固好用，我天天在使用，不可或缺的MP510 OpenVPN伺服器。如有進一步問題煩請告知。

[vito95311]

我知道放在外網會有危險，所以我才選擇利用 domain來加上cloudflare使用proxy來預防ddos attack，我WAN IP可以正常存取cockpit，但是我認為這非常的危險，所以才利用 port forwarding利用9090轉80然後再利用cloudflare proxy 來預防，但是只要加上了domain(利用domain去連線)，不管有沒有用proxy，就會無限的重新導向(HTTP 301)

[Huang Jia-Bin]

了解了，謝謝告知。

至於 Cockpit 安全不安全，請參考它的官方說法，信不信由你：

Is Cockpit Secure?

[作者]

文章