18 de jun. de 2020

Grafana com SSL e redirect para porta 80

Olá, meu caro, este é mais um post rápido e direto, quando estamos trabalhando em ambientes de produção com aplicações web, que passam parâmetros de usuário e senha é crucial que tenhamos conexão criptografada e certificados sobre uma conexão criptografada. O ponto mencionado anteriormente é apenas um dos muitos pontos de segurança que precisam ser parametrizados. Nos passos abaixo nós fazemos a configuração de um certificado e redirecionamento da porta 3000 (porta de execução padrão do grafana) para a porta 80. 

Imagem 1 -  Logo grafana 


Estou executando os comandos como usuários root, porém é importante se certificar de que a aplicação está executando com um usuário isolado e com permissões restritas dentro do sistema. Crie um usuário para a aplicação e dê permissão a este usuário para seus arquivos. 




Imagem 2 -  Navegando seguro
Imagem 2 -  Navegando seguro 


Listando os certificados:

# ls -la /etc/ssl/
total 20
drwxr-xr-x.  2 root root   57 Jun 17 14:12 .
drwxr-xr-x. 82 root root 8192 Jun 18 11:30 ..
lrwxrwxrwx.  1 root root   16 Jun 12 11:33 certs -> ../pki/tls/certs
-rw-r--r--.  1 root root 2690 Aug  8  2018 server.crt
-rw-r--r--.  1 root root 1679 Aug  8  2018 server.key


Edite o arquivo /etc/grafana/grafana.ini e altere os parâmetro abaixo para ficar da seguinte maneira.

Antes:

;protocol = http
;http_port = 3000
;cert_file = 
;cert_key =


Depois:

protocol = https
http_port = 3000
cert_file = /etc/certs/server.crt
cert_key = /etc/certs/server.key


Agora bastas reiniciar o Servidor do Grafana.

#sudo -u grafana systemctl restart grafana-server

Fazendo redirect da porta 3000 para porta 80

#iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3000


Visualizando as regras NAT de redirecionamento criadas:

# iptables -L -t nat -n -v
Chain PREROUTING (policy ACCEPT 3393 packets, 282K bytes)
 pkts bytes target     prot opt in     out     source               destination
 702K   61M PREROUTING_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 702K   61M PREROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 702K   61M PREROUTING_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    4   208 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 redir ports 3000
    6   312 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 redir ports 3000





Leitura recomendada:

Nenhum comentário:

Postar um comentário