혹시 이렇게 사용하면 보안 문제가 있을까요?
혹시 이렇게 사용하면 보안에 문제가 있을까요?..
npm, 헤놀1, 헤놀2 구성인데
헤놀1과 헤놀2에서 인증서를 발급받을 수가 없어서 (80,443 포트 충돌)
(예.. 고수분들은 뭔가 방법이 있을것같은데 초보라 노가다를 뛰어보았습니다...)
npm의 인증서를 이용해서 헤놀1과 헤놀2에 뿌려보았습니다.
Syncthing을 이용해서
nginx proxy manager의 인증서 -> Syncthing -> 헤놀1 인증서 장소의 방식이구요.
제가 생각하기에는 Syncthing이 외부와 연결되지 않기에(포트 개방 x) 안전할 것같은데, 잘 모르겠습니다. ㅠ.ㅠ;; 위험하면 포기해야죠
설치방식은 설치하면서 대충 정리했는데 아래와 같습니다.
p.s 처음에 인증서 설정 잘못해서 시놀로지가 깨져버리는 대참사가 있었는데(os만 재설치), 공유기에서 ip spoofing 같은 기능을 켜놓으면 시놀로지 설치 페이지 접속이 안 될 수도 있다는걸 처음 깨달았네요. 모르면 공유기 설정 안 건드는걸로...
1. Syncthing 을 설치한다.
#1)시놀용
---
version: "2.1"
services:
syncthing:
image: lscr.io/linuxserver/syncthing
container_name: syncthing
hostname: syncthing #optional
environment:
- PUID=0
- PGID=0
- TZ=Asia/Seoul
volumes:
- /volume1/docker/syncthing/config:/config
- /usr/syno/etc/certificate/_archive/npm:/letsencrypt
ports:
- 8384:8384
- 22000:22000/tcp
- 22000:22000/udp
- 21027:21027/udp
restart: unless-stopped
#2)npm 서버용
---
version: "2.1"
services:
syncthing:
image: lscr.io/linuxserver/syncthing
container_name: syncthing
hostname: syncthing #optional
environment:
- PUID=0
- PGID=0
- TZ=Asia/Seoul
volumes:
- /data/syncthing/config:/config
- /data/compose/1/letsencrypt/archive:/letsencrypt
ports:
- 8384:8384
- 22000:22000/tcp
- 22000:22000/udp
- 21027:21027/udp
restart: unless-stopped
2.npm에서 인증서 다운로드 및 시놀로지에서 인증서 설정
2-1)시놀로지에서 인증서 추가
priv -개인용
cert -인증서
chain -중간용
2-2)이후에
/usr/syno/etc/certificate/_archive 에서
cat INFO 로 해당 인증서가 무슨 랜덤파일에 저장되어있는지 확인한다.
해당 랜덤폴더에서
rm -r cert.pem && rm -r chain.pem && rm -r fullchain.pem && rm -r privkey.pem
로 모든 파일을 제거한다.
3.Syncthing 동기화
syncthing에서 모든 파일을 동기화한다.
메인 Syncthing에서 서브로 /letsencrypt 이하를 동기화한다.
4. 리눅스 링크 기능을 이용해서
/usr/syno/etc/certificate/_archive/npm 에서 /usr/syno/etc/certificate/_archive/랜덤폴더/인증서 로 복사한다.
# 주의!!!!
npm에서 받은 인증서는 chain1.pem 형식으로 1이 붙어있고, 시놀로지에서는 1이 없는 chain.pem 형식임을 유의
ex.
ln /usr/syno/etc/certificate/_archive/npm/npm-34/cert1.pem /usr/syno/etc/certificate/_archive/CxiZ2/cert.pem
1등 syncthing은 이번에 처음봤는데 동기화 툴이군요..
내부통신이기때문에 크게 문제는없을듯한데 굳이 인증서를 NPM에서 헤놀로지로 옮기는이유가 따로있을까요??
그 전에 질문드렸었던 dsget 어플 문제를 다운그레이드로 해결은 했지만, 이게 되는 버전 어플이 조금 많이 오래됐더라구요.(6개월+)
생각해보니 어차피 업데이트도 안되니 dsget의 인증서 문제를 해결해야할것같아서 인증서 발급은 해야할텐데
공유기에서 80,443 포트를 NPM에 주면 헤놀에서 인증서 발급이 안되고, 그렇다고 헤놀로 주면 NPM 발급이 안되더라구요... 포트 변경해서 해도 인증서 발급이 계속 거부당하니 아예 NPM에서 받고 헤놀로 옮겨야 겠다 싶었습니다.
(글에 적었다시피 고수분들은 해결이 가능하실듯한데, 저는 뭘 어떻게해야할지 감이 안잡혀서요. ㅠ.ㅠ;;)
그렇군요.. 로직상으로는 문제없어보입니다. 작동만 잘 된다면요..!
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
