방화벽, Collabora CODE, 도커 볼륨 맵핑 질문 드립니다
1. 현재 환경
라즈베리파이 4 4GB
64비트 라즈비안 lite OS에
OMV6를 설치하고 도커와 portainer를 설치한 후
도커에
linuxserver/nextcloud와 nginx proxy manger, collabora/code, netdata 를 설치한 상태입니다.
공유기는 80:80, 443:444 로 포트포워딩 돼있습니다
npm은 80:80, 81:81, 444:443 으로 맵핑 돼있고
Nextcloud는 443:443, collabora/code는 9980:9980 으로 맵핑 돼있습니다
도메인은 xxx.duckdns.org 를 사용하고 있고
외부에서는 cloud.xxx.duckdns.org 로 넥스트클라우드를,
coll.xxx.duckdns.org로 Collabora/code 를 접속할 수 있습니다.
2. Collabora Code 에 관한 질문
Collabora Office 는 리브레오피스의 온라인 버전 오피스입니다.
그 중에서도 CODE는 Collabora Online Develpment Edition 의 약자로,
Nextcloud 와 연결해주면 Nextcloud 에서 문서를 실시간으로 편집할 수 있게 해줍니다
(구글 오피스와 비슷합니다)
처음 이 CODE 컨테이너를 생성할 때, 환경변수에서 Domain 을 설정해줍니다.
이때 도메인은, WOPI host의 도메인을 의미하며, Nextcloud 에서 사용을 원할 경우
자신의 Nextcloud 주소를 기입해주면 됩니다.
이 CODE는 리버스 프록시를 설정하여 coll.xxx.duckdns.org 로 외부에서 접속할 수 있게 설정해놓았고,
접속하면 OK 라는 글자만 표시됩니다.
이렇게요 (설치 지침에 의하면 모든 것이 정상적으로 셋팅되었다는 의미랍니다)
즉, 설치시 기입한 Nextcloud 주소에서 접속을 요청해야만 정상적인 요청이 이루어지는 것으로 추측됩니다.
문제는 관리 콘솔입니다.
https://<도메인>/browser/dist/admin/admin.html 으로 접속하면 CODE 서버 관리 콘솔로 연결됩니다.
(구글에서 퍼온 사진입니다. 로그인 창이 저런 형태로 표시됩니다)
접속하면 위와 같이 브라우저를 통해 로그인 창이 표시되고,
컨테이너 생성시 설정한 아이디와 암호를 기입해야 합니다.
관리 페이지는 연결된 WOPI 호스트를 모니터링 할 수 있는 정도라
이것으로 뭔가 대단한 것을 할 수 없지만, 외부에 관리 페이지가 노출돼있다는게 조금 찝찝합니다
Nextcloud 를 통한 트래픽만 받아들이도록 설정 할 수 없을까요?
Fail2ban 설정도 해보려 했지만, CODE의 접속 log가 어딨는지도 모르겠고, (nginx를 사용하는 것 같긴 한데...)
설치 문서를 보아도 fail2ban에 관한 내용이 있지 않습니다
3. 방화벽 설정이 꼭 필요할까요?
OMV에서 방화벽(iptables를 이용한 것으로 보임)을 설정할 수 있습니다 (아직 방화벽 규칙은 설정하지 않았습니다)
공유기는 80번과 443포트만 열어놓은 상태이고, Nginx Proxy Manager 와 연결돼있습니다.
리버스 프록시는 Nextcloud와 Collabora CODE 만 설정된 상태입니다.
별도의 방화벽을 설정해 줄 필요가 있을까요?
4. 도커 생성시, 볼륨 맵핑이 꼭 필요한가요?
도커를 생성할때, 설치 지침이나 도커 compose를 보면 볼륨 맵핑이 나와있는 경우가 많은데
꼭 해줘야하는 건가요?
안해줘도 동작하는데는 문제가 없고, 다만 볼륨 이름이 임의로 지정된다는 점은 있는 것 같습니다.
보안상 문제가 발생할 수 있나요?
5. 보안 스캔 사이트나 체크해야 할 항목이 있는지 궁금합니다
Nextcloud 보안 스캐너라고 하는, 제작사에서 운영하는 Nextcloud를 위한 보안 스캔을 해주는 사이트가 있고,
ssllabs.com 이라는 곳에서는 SSL 보안을 체크해줍니다.
두 사이트 모두 제 Nextcloud를 스캔해보니 최고점으로 나오긴 합니다만
제가 아직 리눅스와 네트워크에 대해서 잘 알지 못하여 혹시나 놓친 보안 사항이 있는지 불안합니다.
추가적인 보안 스캔 사이트나, 필수적으로 체크해야 할 항목이 있는지 궁금합니다
매번 질문만 드리는 것 같아 죄송합니다ㅜㅜ
앞으로 열심히 활동하겠웁니다
1등 2번부터 답변드리자면
referer를 해당 nextcloud 도메인만 접근가능하도록 수정하신다면 접근제한도 가능할거라고생각합니다.
3. 포트제한이나 ip제한의 방화벽의 경우 기본적은 접근제한일 뿐입니다. 보통 방화벽이라고 말하는것은 ids/ips 기능을 가지고 악성공격이나 접근으로부터 보호해줍니다.
4. 볼륨매핑은 보안상 문제라기 보다는 컨테이너에 접근하지않고도 호스트에서 컨테이너의 디렉터리에접근할 수 있기때문에 추후 마이그레이션이나 데이터를 옮길때 편합니다.
5. 기본적으로 말씀하신부분을해주시고추가적으로는 nextcloud 의 보안업데이트나 사용하고있는 nginx php,mysql등 취약점에 대해서 꾸준하게 업데이트만 해주셔도 기본보안사항으로는 충분합니다
2. referer를 수정한다는게 무엇인지 잘 모르겠습니다...
3. 포트 제한은 공유기에서 포트포워딩으로 대체한다고 생각하면 될까요? Nextcloud 경우 딥러닝 기반의 수상한 로그인 탐지 앱이 있어 설치는 해놨습니다 (프론트엔드라 도움이 될지는 모르겠지만)
정말 매 번 답변 감사합니다 ㅎㅎ
2. Referer의 개념은 구글링하시면 아마 상세히 나오실겁니다 제가 몇줄로 설명드리기 애매한감이 있어서요.
간단하게 말씀드리면 이전에 어떤사이트를 통해서 넘어왔는지를 구별해주는 식별자라고 보시면될듯합니다.
3. 네 포트포워딩이면 기본적으로 충분합니다
도움이되시면좋겠네요 ㅎ
referer 에 대한 것은 내일 또 알아봐야겠습니다
나스 해킹이나 바이러스 감염 같은 글들을 보다보니 막연한 불안감이 생겨서.. 갑자기 보안에 신경이 쓰입니다 ㅋㅋㅋ
4번을 물어보시는 것은 아직은 도커에 대해 잘 이해를 하지 못한거라 생각하고 설명 드리겠습니다.
도커는 여러개의 레이어를 덮어써서 최종적으로 사용하게 됩니다.
마치 인형놀이 같이 , 몸 만들고 옷 만들어서 합체 시켜놓는것과 같습니다.
이과정을 컨테이너 생성이라고 합니다.
즉, 일반적으로 컨테이너 생성 명령어인 "docker run" 을 실행 하게되면,
누군가 만들어 놓은 최종 버젼의 이미지를 기반으로 새로운 컨테이너를 생성하게 됩니다.
컨테이너 = 기존의 이미지(읽기전용) + 새로운 레이어(읽고쓰기)
개념만 놓으면 이런데, 여기서 몇가지 문제들이 생깁니다.
컨테이너 상태에서 데이터를 생성하고 이것저것 만들었습니다.
그런데, 컨테이너의 기본이 되는 이미지를 변경해야 하는 상황이 생겼습니다. (소프트웨어 버젼 변경등)
네, 현재의 개념만으로는 상상하신대로 컨테이너를 재성성해서 이것저것 만든것을 다시 진행해야 합니다.
그래서 볼륨이라는 개념이 도입이 되어, 컨테이너와 별도의 공간에 저장하게 되었습니다.
이제는 컨테이너를 재생성해도 볼륨이 있으니, 볼륨이라는 공간에 별도의 데이터를 새로운 컨테이너에
다시 연결해 주면 예전처럼 쓸수 있게 되는거죠.
그래서 도커를 쓰면서 볼륨을 안쓴다 라는건
"언제든지 내가 작업한건 날아가도 좋아." 와 동일합니다.
도커는 아주 좋은 소프트웨어 이지만, 언제든 불의의 사고가 일어날수 있습니다.
갑자기 잘 쓰던 이미지가 부팅이 안되는 사태가 벌어질수 있기 때문에,
항상 백업은 철저하게 하시는 습관을 들이시는게 좋습니다.
아, 볼륨을 생성해주면 컨테이너 밖에 생성되는군요
이제부터라도 볼륨매칭 잘 해둬야겠습니다 감사합니다
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
