VPS Upgrade Feest, Dag 2: Een Dans met Drie Demonen
Goedenavond, digitale feestgangers en mede-kabelknopers! Jelle hier, live vanaf het front van de Grote Anoiksis VPS01 Verbouwing. Gisteren legden we het fundament, vandaag… vandaag gingen we voor de chique afwerking. De missie van Dag 2: ons kersverse Cockpit-paneel niet alleen laten werken, maar transformeren tot een onneembare, op maat gemaakte commandocentrale. Simpel, toch?
Nou, nee. Dag 2 werd een onverwachte polonaise met een paar hardnekkige digitale demonen.
Demon #1: De Overijverige Portier (PAM)
Vol goede moed begonnen we met het installeren van een digitale V.I.P.-check: Two-Factor Authenticatie. Een appje op de telefoon, een code, en klaar. Dachten we. Maar na het invoeren van de juiste inloggegevens, kregen we een digitale deur in ons gezicht geknald: “Verbinding mislukte”.
Grmbl. De logs in! De standaard Cockpit-log was oorverdovend stil, maar in de catacomben van /var/log/auth.log vonden we de boosdoener. Een module genaamd pam_ssh_add. Deze overijverige portier probeerde bij elke login een SSH-sleutelbos te pakken die er voor een web-login helemáál niet is. Resultaat: de hele boel klapte eruit. Oplossing? We hebben de portier vriendelijk doch dringend verzocht om specifiek voor Cockpit even een ander ommetje te maken. Probleem 1… getackeld!
Demon #2: De Schizofrene Poortwachter (Apache & Cockpit)
Maar het feest was van korte duur. Zelfs met de portier op non-actief, kregen we dezelfde fout. De frustratie was voelbaar. De koffie werd koud. De vhost-configuratie werd voor de zeventiende keer nagekeken. Alles klopte! De RewriteRule stond keurig voor de ProxyPass! Wat was hier in hemelsnaam aan de hand?
Tijd voor de Grote Truc: een geheime tunnel. Met ssh -L omzeilden we de hele Apache-poortwachter en klopten we direct aan bij Cockpit zelf. En wat bleek? De deur zwaaide wagenwijd open! Cockpit was onschuldig! De poortwachter was de schuldige.
Maar waarom? Na nog een diepe duik in de krochten van de documentatie kwam de aap uit de mouw. We hadden een prachtige deur gebouwd (de reverse proxy), maar we waren vergeten in het huisreglement van Cockpit zelf (cockpit.conf) op te schrijven wie er door die deur naar binnen mocht. Een simpel regeltje, Origins = https://cp.anoiksis.nl, en… EUREKA! We waren binnen. De interface straalde ons tegemoet.
De Overwinningsronde: De Finishing Touches
Met de demonen verslagen, was het tijd voor de leuke dingen. De beloning.
- De V.I.P.-Lijst: We metselden de toegang dicht voor de hele wereld, behalve voor mijn eigen IP-adressen. Niet met een rondslingerend
.htaccess-briefje, maar netjes, professioneel en oerdegelijk in de fundering van de Virtual Host zelf. Klasse. - De Nieuwe Geluidsinstallatie: De oude, vertrouwde
ufw-firewall werd met pensioen gestuurd. In zijn plaats kwam de flitsendefirewalld. Waarom? Omdat deze naadloos integreert met Cockpit. Nu kan ik vanuit mijn luie browserstoel ad hoc firewallregels inschieten. Klik, boem, poort open. Heerlijk. - De Intelligente Verlichting: Tot slot maakten we de “onbeheerde” netwerkinterface tam. Door de regie over te dragen aan
NetworkManagervianetplan, kunnen we nu zelfs de diepste netwerkinstellingen vanuit Cockpit aanpassen.
Wat een dag. Het begon als een simpele klus en eindigde in een diepgaande diagnostische achtbaan. Maar het resultaat mag er zijn: VPS01 heeft nu een commandocentrum waar je u tegen zegt. Veilig, gelikt en volledig op afstand te dirigeren.
En nu? Nu is het tijd voor een welverdiend drankje. Proost op systemctl restart!
Tot de volgende fase!
Jelle