masyarakat
Belajar
Perpustakaan Alatan
Alat AI
Masa lapang
cari
Melayu
Jadual Kandungan
Menggunakan pKi
Arahan kemas kini mengenai Pengesahan CrowdSec dan TLS
Kesimpulan
Rumah Tutorial sistem LINUX Selamatkan pemasangan enjin keselamatan pelbagai pelayan dengan HTTPS

Selamatkan pemasangan enjin keselamatan pelbagai pelayan dengan HTTPS

Jennifer Aniston
Jennifer Aniston
Mar 10, 2025 am 09:02 AM

Secure A Multi-Server Security Engine Installation With HTTPS

Bahagian kedua tutorial ini akan menerangkan bagaimana untuk menubuhkan dan mengamankan pemasangan enjin keselamatan Crowdsec multi-server. Pada bahagian pertama, kami menerangkan bagaimana untuk menubuhkan enjin keselamatan CrowdSec pada beberapa pelayan, salah satunya berfungsi sebagai pelayan induk dan dua lagi yang memajukan amaran kepadanya.

Bahagian ini akan menyelesaikan masalah keselamatan yang disebabkan oleh komunikasi HTTP Plaintext dalam pemasangan enjin keselamatan multi-server sebelumnya. Untuk menyelesaikan masalah ini, kami mengesyorkan mewujudkan komunikasi antara enjin keselamatan melalui saluran yang disulitkan. Penyelesaian ini membolehkan Server 2 atau Server 3 untuk mempercayai identiti pelayan 1 dan mengelakkan serangan lelaki-dalam-pertengahan.

menggunakan sijil ditandatangani sendiri

Buat sijil Pertama, anda perlu membuat sijil. Ini dapat dicapai dengan mengikuti satu arahan baris: 

openssl req -x509 -newkey rsa:4096 -keyout encrypted-key.pem -out cert.pem -days 365 -addext "subjectAltName = IP:172.31.100.242"
Salin selepas log masuk
Salin selepas log masuk
Pada masa ini, enjin keselamatan tidak boleh meminta kata laluan untuk kunci peribadi apabila ia dimulakan. Oleh itu, anda boleh memilih untuk menyahsulit secara manual kunci peribadi setiap kali anda memulakan atau memuatkan semula enjin keselamatan, atau menyimpan kunci yang tidak disulitkan. Sama ada cara, untuk memadam kata laluan, anda boleh menggunakan arahan berikut: 

openssl rsa -in encrypted-key.pem -out key.pem
Salin selepas log masuk
Kemudian, selepas enjin keselamatan dimulakan, fail kunci yang tidak disulitkan dapat dihapuskan dengan selamat.

Konfigurasi enjin keselamatan untuk menggunakan sijil ditandatangani sendiri pada pelayan 1, anda perlu mengkonfigurasi enjin keselamatan untuk menggunakan sijil yang dihasilkan. Seperti yang ditunjukkan di bawah, pilihan dan /etc/crowdec/config.yaml di bahagian api.server dari petikan berikut tls.cert_file ditetapkan ke fail sijil yang dihasilkan. tls.key_file 

api:
  server:
    log_level: info
    listen_uri: 10.0.0.1:8080
    profiles_path: /etc/crowdsec/profiles.yaml
    online_client: # Crowdsec API credentials (to push signals and receive bad 

    tls:
      cert_file: /etc/crowdsec/ssl/cert.pem
      key_file: /etc/crowdsec/ssl/key.pem
Salin selepas log masuk
Pada pelanggan, perubahan konfigurasi berlaku dalam kedua -dua fail. Pertama, ubah suai

untuk menerima sijil yang ditandatangani sendiri dengan menetapkan /etc/crowdec/config.yaml ke insecure_skip_verify. true

Anda juga perlu menukar HTTP ke HTTPS dalam fail

untuk mencerminkan perubahan ini. Perubahan kecil ini mesti dilakukan pada ketiga -tiga pelayan (Server 1, Server 2 dan Server 3). /etc/crowdsec/local_api_credentials.yaml

NOTA: Ingat bahawa jika pelayan 1 juga digunakan sebagai pemproses log, anda juga mesti melakukan konfigurasi LAPI ini pada pelayan ini. 

url: https://10.0.0.1:8080/
login: <login>
password: <password></password></login>
Salin selepas log masuk

Nota sampingan: Jelas sekali, menggunakan sijil ditandatangani sendiri tidak memberikan jaminan kepada pemilikan pelayan LAPI. Pelayan yang menggunakan perkhidmatan (Server 2 atau Server 3 dalam tetapan ini) masih terdedah kepada serangan manusia-dalam-pertengahan, tetapi sekurang-kurangnya tetapan ini menyediakan komunikasi yang disulitkan. Inilah sebabnya pilihan diperlukan. InsecureSkipVerify

Sijil yang dikeluarkan oleh Pihak Berkuasa Sijil

Perkhidmatan seperti Let's Encrypt atau Amazon ACM boleh menyelesaikan isu

dengan mengeluarkan sijil untuk nama domain yang berkelayakan yang boleh ditambah kepada

atau pelayan DNS tempatan. Anda kemudiannya boleh mengisi /etc/hosts dengan nama domain yang berkelayakan sepenuhnya ini. InsecureSkipVerify

Ini berfungsi dan menghalang pilihan InsecureSkipVerify daripada ditetapkan. Selagi konfigurasi DNS dipercayai, ini memastikan bahawa komunikasi antara klien dan pelayan tidak diganggu, tetapi ini masih harus dianggap sebagai penyelesaian.

Menggunakan pKi

Proses mengkonfigurasi dan mengurus infrastruktur utama awam SSL (PKI) tidak berada dalam skop tutorial ini, tetapi saya sangat mengesyorkan agar anda menyemak dokumentasi OpenSSL rasmi. Penyelesaian PKI yang mudah mencukupi untuk memenuhi keperluan persediaan enjin keselamatan ini.

Menurut dokumentasi OpenSSL, terdapat beberapa perkara yang perlu disebutkan.

yang akan digunakan dalam senario TLS CrowdSec kami, permintaan sijil mesti dikeluarkan dengan nama alternatif topik yang sepadan dengan IP pelayan LAPI CrowdSec. Ini boleh dilakukan dengan mencari pembolehubah persekitaran SAN apabila memanggil OpenSSL untuk permintaan sijil (lihat Langkah 3.3 dalam skim PKI Simple OpenSSL). 

openssl req -x509 -newkey rsa:4096 -keyout encrypted-key.pem -out cert.pem -days 365 -addext "subjectAltName = IP:172.31.100.242"
Salin selepas log masuk
Salin selepas log masuk

Sebelum memulakan enjin keselamatan CrowdSec, bahagian umum sijil root dan sijil yang ditandatangani (fail yang dibundel dibuat dalam langkah 4.5 skim PKI mudah OpenSSL) mesti ditambah ke kedai sijil tempatan. Dalam persediaan ini, ini perlu menyambung ke pelayan LAPI. Terdapat banyak cara untuk melakukan ini, Kod Sumber Golang menentukan lokasi sijil yang dijangkakan, atau anda boleh menggunakan pembolehubah persekitaran SSL_CERT_FILE dalam fail perkhidmatan SystemD untuk menentukan di mana untuk mencari sijil apabila memulakan enjin keselamatan.

Arahan kemas kini mengenai Pengesahan CrowdSec dan TLS

Selepas artikel ini mula -mula diterbitkan, kami telah menambah ciri baru kepada enjin keselamatan, di mana anda kini tidak hanya melindungi komunikasi di TLS, tetapi juga memastikan pengesahan dengan sijil. Dalam dokumentasi rasmi, anda boleh mencari contoh yang baik yang menunjukkan cara menggunakan sijil untuk pengesahan TLS antara enjin keselamatan atau antara enjin keselamatan dan komponen pemulihan.

Kesimpulan

Artikel ini memberi tumpuan kepada cara melindungi komunikasi antara pemasangan enjin keselamatan CrowdSec yang berbeza. Kes penggunaan yang dipertimbangkan ialah pemasangan enjin keselamatan dalam rangkaian peribadi, tetapi ini juga boleh digunakan di rangkaian awam dengan komunikasi internet. Dalam kes ini, sijil pihak ketiga dapat menyelesaikan masalah dengan mudah.

Seperti yang diperlukan, kami mencadangkan tiga kaedah yang berbeza untuk mencapai komunikasi TLS yang selamat antara enjin keselamatan-menggunakan sijil ditandatangani sendiri, menggunakan sijil yang dikeluarkan oleh pihak berkuasa sijil, dan menggunakan infrastruktur utama awam SSL.

Penyelesaian pertama (menggunakan sijil ditandatangani sendiri) hanya sesuai untuk situasi di mana anda ingin memastikan komunikasi yang disulitkan tanpa pengesahan. Penyelesaian kedua hanya boleh dipertimbangkan apabila anda boleh mengubah suai resolusi DNS tempatan. Penyelesaian ketiga adalah yang paling kompleks, tetapi ia sesuai dengan kes penggunaan dan mungkin pilihan terbaik apabila masalah keselamatan serius.

Saya harap tutorial ini dapat membantu anda. Terima kasih kerana membaca, sila tunggu!

Jika anda mempunyai sebarang pertanyaan atau maklum balas, sila hubungi kami melalui platform masyarakat perselisihan dan wacana kami.

Atas ialah kandungan terperinci Selamatkan pemasangan enjin keselamatan pelbagai pelayan dengan HTTPS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

Video Face Swap

Video Face Swap

Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Tunjukkan Lagi

Artikel Panas

Apa yang Baru di Windows 11 KB5054979 & Cara Memperbaiki Masalah Kemas Kini
4 minggu yang lalu By DDD
Bagaimana untuk memperbaiki KB5055523 gagal dipasang di Windows 11?
3 minggu yang lalu By DDD
Inzoi: Cara Memohon ke Sekolah dan Universiti
1 bulan yang lalu By DDD
Bagaimana untuk memperbaiki KB5055518 gagal dipasang di Windows 10?
3 minggu yang lalu By DDD
Di mana untuk mencari kunci pejabat tapak di atomfall
4 minggu yang lalu By DDD
Tunjukkan Lagi

Alat panas

Notepad++7.3.1

Notepad++7.3.1

Editor kod yang mudah digunakan dan percuma

SublimeText3 versi Cina

SublimeText3 versi Cina

Versi Cina, sangat mudah digunakan

Hantar Studio 13.0.1

Hantar Studio 13.0.1

Persekitaran pembangunan bersepadu PHP yang berkuasa

Dreamweaver CS6

Dreamweaver CS6

Alat pembangunan web visual

SublimeText3 versi Mac

SublimeText3 versi Mac

Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

Tunjukkan Lagi

Topik panas

Di manakah pintu masuk log masuk untuk e-mel gmail?
7892
15
Tutorial Java
1651
14
Tutorial CakePHP
1411
52
Tutorial Laravel
1302
25
Tutorial PHP
1248
29
Tunjukkan Lagi
Related knowledge
Untuk apa yang paling baik digunakan oleh Linux? Untuk apa yang paling baik digunakan oleh Linux? Apr 03, 2025 am 12:11 AM

Linux paling baik digunakan sebagai pengurusan pelayan, sistem tertanam dan persekitaran desktop. 1) Dalam pengurusan pelayan, Linux digunakan untuk menjadi tuan rumah laman web, pangkalan data, dan aplikasi, menyediakan kestabilan dan kebolehpercayaan. 2) Dalam sistem tertanam, Linux digunakan secara meluas di rumah pintar dan sistem elektronik automotif kerana fleksibiliti dan kestabilannya. 3) Dalam persekitaran desktop, Linux menyediakan aplikasi yang kaya dan prestasi yang cekap.

Apakah 5 komponen asas Linux? Apakah 5 komponen asas Linux? Apr 06, 2025 am 12:05 AM

Lima komponen asas Linux adalah: 1. Kernel, menguruskan sumber perkakasan; 2. Perpustakaan sistem, menyediakan fungsi dan perkhidmatan; 3. Shell, antara muka pengguna untuk berinteraksi dengan sistem; 4. Sistem fail, menyimpan dan menganjurkan data; 5. Aplikasi, menggunakan sumber sistem untuk melaksanakan fungsi.

Apakah Pentadbiran Linux Asas? Apakah Pentadbiran Linux Asas? Apr 02, 2025 pm 02:09 PM

Pengurusan Sistem Linux memastikan kestabilan sistem, kecekapan dan keselamatan melalui konfigurasi, pemantauan dan penyelenggaraan. 1. Perintah Shell Master seperti Top dan Systemctl. 2. Gunakan apt atau yum untuk menguruskan pakej perisian. 3. Tulis skrip automatik untuk meningkatkan kecekapan. 4. Kesilapan debug biasa seperti masalah kebenaran. 5. Mengoptimumkan prestasi melalui alat pemantauan.

Bagaimana untuk belajar asas Linux? Bagaimana untuk belajar asas Linux? Apr 10, 2025 am 09:32 AM

Kaedah untuk pembelajaran asas Linux dari awal termasuk: 1. Memahami sistem fail dan antara muka baris perintah, 2. Master arahan asas seperti LS, CD, MKDIR, 3.

Apakah yang paling banyak digunakan Linux? Apakah yang paling banyak digunakan Linux? Apr 09, 2025 am 12:02 AM

Linux digunakan secara meluas dalam pelayan, sistem tertanam dan persekitaran desktop. 1) Dalam bidang pelayan, Linux telah menjadi pilihan yang ideal untuk menganjurkan laman web, pangkalan data dan aplikasi kerana kestabilan dan keselamatannya. 2) Dalam sistem tertanam, Linux popular untuk penyesuaian dan kecekapan yang tinggi. 3) Di persekitaran desktop, Linux menyediakan pelbagai persekitaran desktop untuk memenuhi keperluan pengguna yang berbeza.

Apakah peranti Linux? Apakah peranti Linux? Apr 05, 2025 am 12:04 AM

Peranti Linux adalah peranti perkakasan yang menjalankan sistem operasi Linux, termasuk pelayan, komputer peribadi, telefon pintar dan sistem tertanam. Mereka mengambil kesempatan daripada kuasa Linux untuk melaksanakan pelbagai tugas seperti hosting laman web dan analisis data besar.

Apakah kelemahan Linux? Apakah kelemahan Linux? Apr 08, 2025 am 12:01 AM

Kelemahan Linux termasuk pengalaman pengguna, keserasian perisian, sokongan perkakasan, dan keluk pembelajaran. 1. Pengalaman pengguna tidak mesra seperti Windows atau MacOS, dan ia bergantung pada antara muka baris arahan. 2. Keserasian perisian tidak sebaik sistem lain dan tidak mempunyai versi asli banyak perisian komersial. 3. Sokongan perkakasan tidak begitu komprehensif seperti Windows, dan pemandu boleh dikumpulkan secara manual. 4. Keluk pembelajaran adalah curam, dan menguasai operasi baris arahan memerlukan masa dan kesabaran.

Adakah Internet berjalan di Linux? Adakah Internet berjalan di Linux? Apr 14, 2025 am 12:03 AM

Internet tidak bergantung pada sistem operasi tunggal, tetapi Linux memainkan peranan penting di dalamnya. Linux digunakan secara meluas dalam pelayan dan peranti rangkaian dan popular untuk kestabilan, keselamatan dan skalabiliti.

See all articles