Nextcloud, ip차단, Collabora office 관련 질문입니다
라즈베리파이를 이용한 간단한 NAS를 만들고 있는데 몇가지 궁금증이 생겨 질문드립니다
1. 현재 환경
라즈베리파이 4 4GB
64비트 라즈비안 lite OS에
OMV6를 설치하고 도커와 portainer를 설치한 후
도커에
Nextcloud와 nginx proxy manger 를 설치한 상태입니다.
공유기에는 80:80, 443:444 로 포트포워딩 돼있습니다
npm은 80:80, 81:81, 444:443 으로 포트포워딩 돼있고
Nextcloud는 443:443 으로 포트포워딩 돼있습니다
도메인은 xxx.duckdns.org 를 사용하고 있고
외부에서는 cloud.xxx.duckdns.org 로 넥스트클라우드만 접속할 수 있습니다.
2. 다른 서브도메인이나 xxx.duckdns.org 으로의 접속을 차단?
제가 넥스트클라우드로 사용 중인 cloud.xxx.duckdns.org 로의 접속을 제외한 다른 서브도메인이나 xxx.duckdns.org 로 접속했을 때 google.com 으로 리다이렉트가 되게 설정해놓은 상태인데 아예 접속을 차단할 수는 없나요? 아니면 이렇게만 해줘도 보안 수준은 크게 차이 없을까요?
3. 해외 ip 차단?
지금 Nextcloud에 GeoBlocker라는 앱을 설치해서 사용 중입니다. 국가별 IP 데이터베이스를 이용해서 국가별 IP 차단이 가능한데 문제는 프론트엔드 기반 서비스인지라, 완전한 접속 차단은 안되고 로그인을 차단하는 수준의 블락입니다. (차단 국가 IP로 접속시, 올바른 비번과 아이디를 입력했다고 하더라도 차단되고 Nextcloud 로그에 IP와 시도한 ID 등이 기록됩니다)
또, OMV에 플러그인으로 설치한 fail2ban에 Nextcloud 필터를 추가하고 Jail을 생성해주니, Nextcloud에서의 로그인 시도도 잘 차단해 줍니다.
그런데 GeoBlocker의 경우 로그인 차단 기능이지 접속 차단은 안되고, Fail2ban의 경우 일정 횟수 이상의 로그인 시도가 확인되면 접속을 차단하는 방식입니다. 아예 해외에서의 접속 자체를 차단할 수 있는 방법이 없을까요?
4. 80번 포트도 계속 열어놔야하나요?
Nginx proxy manager에서 공유기의 80번과 443번 포트를 사용 중입니다. 443번 포트는 https 접속에 필요한 포트인데, 80번 포트도 계속 사용되는 포트인가요?
5. Nextcloud에서 collabora online (libre 오피스 기반의 온라인 오피스) built-in CODE server 사용
Nextcloud에서 colloabora online과 built-in CODE server (arm) 앱을 설치하고 CODE 서버를 활성화하려 했으나, 다음과 같은 오류가 뜹니다.
Could not establish connection to the Collabora Online server. This might be due to a missing configuration of your web server. For more information, please visit: Connecting Collabora Online Single Click with Nginx
그래서 방문하라는 페이지를 들어가면
When you are using a Nginx server, you need to do a small modification to your existing configuration. For the Collabora Online app to work, you have to add a ‘richdocumentscode/proxy’ entry point as an allowed location to the config in the webroot of your nginx installation. From the documentation at Nextcloud:
location ~ ^\/nextcloud\/(?:index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|oc[ms]-provider\/.+|.+\/richdocumentscode\/proxy)\.php(?:$|\/) {
nginx의 웹루트에 있는 config 파일에 저런 문구를 넣으라는 것 같은데 그 config 파일이 어디있는지 모르겠습니다
https://github.com/nextcloud/documentation/blob/1f7dd0bb814045d37ff38fbb1217274695c79cae/admin_manual/installation/nginx.rst
이곳에 들어가면 /var/www 에 들어가면 nextcloud 폴더나 파일이 있는 것 같은데
SSH로 /var/www 루트로 들어가면 html과 openmediavault 폴더 밖에 없고
Portainer로 nextcloud의 콘솔로 /var/www 루드로 들어가면 localhost 폴더 밖에 없습니다.
제가 파일을 뭔가 만들어야하는 건지.... 어떻게 해야 하는건지... 궁금합니다
리눅스랑 네트워크 쪽이 처음이라 궁금한게 많습니다
한 번에 질문이 많아서 죄송합니다 ㅜㅜㅜ
ps 오늘 OMV6 업데이트했더니 대시보드에서 도커 컨테이너 목록과 CPU온도도 볼 수 있게 됐네요
1등 2. Npm에서 요청도메인이 아닐시 404 페이지를 띄우는 옵션이있던걸로기억합니다.
3. 앞단에 별도로 방화벽을 쓰시거나 ufw에서 geoip차단룰 작성하시는걸 검색하셔야합니다.
4. 80은 http로 웹포트로 사용되기 때문에 오픈하고 https 리다이렉트를 걸어놓으시면 됩니다.hsts포함
5. Nginx conf 파일을 수정하라는 뜻입니다. /etc/nginx/conf 쪽 파일입니다
답변 정말 감사합니다
시간 날 때 하나씩 건드려 보겠습니다 ㅎㅎ
하나하나 하시면 잘되실겁니다 ㅎㅎ
의문점은 보통 80,443,을 npm으로 보내고 npm 에서 다른 서버로 http를 호출해서 쓰는데
443을 nextcloud로 쓰시는건 따로 인증서를 발급받으셔서 그런걸까요??
Swag엿나 npm이엇나 설치 지침에서 공유기 포트포워딩을 443:444로, npm 맵핑을 444:443으로 하면 편하다길래 nextcloud는 443:443 그대로 냅두고 공유기랑 npm 맵핑을 바꿧습니다. npm에서는 라즈베리파이의 443포트를 호출하도록 해줬습니다
아 5번의 경우 제가 사용한 이미지가 linuxserver/nextcloud라 해결할 수 없는 문제였습니다.
조금 더 찾아보니 그렇게 나오네요 ㅎㅎ
You cannot use this functionality, because the linuxserver/nextcloud comes from linuxserver.io which is based on Alpine. Alpine is unsupported, because it uses musl libc instead of glibc, and AppImage does not support muls libc yet:
https://github.com/AppImage/AppImageKit/issues/1015
Your only possibility is to deploy the proper CODE in one more docker:
https://www.collaboraoffice.com/code/
그냥 도커를 이용해서 컨테이너를 하나 더 만들어야 합니다
그렇군요...ㅠㅠ
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
