複数ホストの管理のセキュリティに関する考慮事項
最適なセキュリティのために、単一のCockpit Webコンソール・インスタンスから複数のホスト・システムにアクセスして管理する場合は、次の構成を実装することを検討してください。
- SSH接続による最適なトポロジ構成:
- 要塞ホストにCockpitをインストールして、その他のセカンダリCockpitホストの接続と管理に使用します。Cockpit要塞ホストは、認証局発行のTLS証明書によって構成する必要があります。
- すべてのセカンダリ・ホストは、SSH接続によって通信するように構成します。たとえば、このシナリオの場合:
- すべてのセカンダリCockpitホストには、SSHプロトコル(デフォルトはポート22)を通じてアクセスできます。
- すべてのセカンダリCockpitホストで、SSHファイアウォール・ポートを開きます。
- セカンダリCockpitホストでは、
cockpit.socketサービスを有効にする必要はありません。 - セカンダリCockpitホストでは、認証局発行のTLS証明書は必要ありません。ただし、プライマリCockpit要塞ホストは、認証局発行のTLS証明書によって構成する必要があります。
SSH構成の詳細は、『Oracle Linux: OpenSSHを使用したリモート・システムへの接続』の「OpenSSHサーバーの構成」を参照してください
ノート:
Cockpitプロジェクト - 認証: Cockpitを使用してプライマリおよびセカンダリ・サーバーを管理する際の追加情報は、https://cockpit-project.org/guide/latest/authentication.htmlを参照してください。
- リモート・ホスト認証のためのSSHの使用:
- SSHキー・ベースの認証(優先認証方式) - キー・ベースの認証は、SSHに対するパスワードの総当たり攻撃を防止するために役立ち、管理者にはパスワードなしのキー・ベースの認証を提供します。
SSHキー・ベースの認証がまだ設定されていない場合は、リモート・ホストにログインするときに、SSHキーの認可チェック・ボックスを選択すると簡単に構成できます。詳細は、「セカンダリ・ホストの追加と接続」の手順のステップ3を参照してください。
-または-
- SSHパスワード認証 - SSHクライアントのパスワード認証では、SSHサーバーが存在するホストからユーザーIDとパスワードを入力する必要があります。SSHパスワード認証は一部のユーザーにとって便利なこともありますが、パスワード認証はアカウントが侵入されやすくなる可能性があるためにお薦めできません。
- SSHキー・ベースの認証(優先認証方式) - キー・ベースの認証は、SSHに対するパスワードの総当たり攻撃を防止するために役立ち、管理者にはパスワードなしのキー・ベースの認証を提供します。