.png)
Ich habe ein Wildcard-Zertifikat für interne Dienste. Ich möchte Security Onion hinter einem ALB laufen lassen, damit ich mit einem einzigen im Zertifikatsmanager gespeicherten Zertifikat ein gültiges SSL bekomme. (Die Speicherung dort ist sicherer und erleichtert die Wartung und Zuverlässigkeit.)
Das Problem scheint zu sein, dass in der Security Onion-Konfigurationsdatei /opt/so/saltstack/local/pillar/global.sls
url_base: # IP or FQDN
Kann ENTWEDER so konfiguriert werden, dass per IP-Adresse (an diesem Punkt verweisen die Anmeldeumleitungen auf die IP und verifiziertes SSL wird unterbrochen) oder per FQDN (an diesem Punkt werden Anfragen per IP nicht beantwortet und die Integritätsprüfung der Zielgruppe schlägt fehl) abgehört wird?
Ich habe es versehentlich zum Laufen gebracht, indem ich von IP auf FQDN umgeschaltet habe. Aber ich vermute, dass es in der 2-minütigen Karenzzeit funktioniert hat, als der Integritätscheck noch grün war, der Server aber per FQDN funktionierte.
Hinter den Kulissen verwendet Security Onion nginx, um Host-zu-Docker-Routing durchzuführen. Die nginx-Konfigurationsdatei finden Sie hier: /opt/so/saltstack/default/salt/nginx/etc/nginx.conf
Hat das schon einmal jemand gemacht?
Antwort1
Ich konnte dies zum Laufen bringen, indem ich einen einfachen Healthcheck in die Nginx-Konfiguration eingefügt habe.
server {
listen 443 ssl http2;
server_name 192.168.1.something;
location /health {
access_log off;
add_header 'Content-Type' 'text/plain';
return 200 "healthy\n";
}
}
Dieser Ansatz hat zwei Einschränkungen.
- Ich habe die IP-Adresse in meiner Konfiguration fest codiert und dies wird nicht mehr funktionieren, wenn mein Host jemals verschoben wird oder aus einem Snapshot neu instanziiert wird. (Kann dies behoben werden, indem nginx die lokale IP ableitet?)
- Der Integritätscheck überprüft, ob nginx ausgeführt wird, nicht jedoch, ob SO dahinter fehlerfrei ist.