設定 - Cockpit

Cockpitは、Linuxサーバを対象としたブラウザベースのWebUIによるシステム管理ツールである。
基本的なシステム設定から、ストレージ管理、ネットワーク設定、ユーザ管理、システムの最新状態の維持まで、多数の管理タスクをWebブラウザから実行できる。

複数のサーバを管理するための機能を備えた管理ユーティリティであるが、自動化機能は持たない。
systemd、journald、NetworkManager、firewalld、storaged (udisks2)、realmd、PAMと統合されており、既存のLinuxシステム管理ツールとシームレスに連携する。

SUSEがコミュニティと協力している活発なアップストリームプロジェクトである。
Cockpitは、Leap MicroとMicroOSにも含まれている。
商用製品であるSUSE Linux Enterprise Microの一部であり、SUSE Linux Enterprise 16にも搭載されている。

アーキテクチャは軽量で、systemd socket activationによるオンデマンド起動を採用しており、常時稼働によるリソース消費が少ない。
モジュール式の設計により、必要な機能のみをパッケージとして追加インストールできる。

アップストリームが管理するドキュメントがあり、SUSEもドキュメントを管理している。

Webブラウザの対応状況を以下に示す。

• Firefox 82以降
• Chrome / Edge 88以降
• Safari 14.5以降

Cockpitは複数のコンポーネントが連携して動作する。
各コンポーネントの役割を理解することで、トラブルシューティングや詳細な設定が容易になる。

主要コンポーネントを以下に示す。

動作フローは以下の通りである。

1. Webブラウザが9090番ポートへHTTPS接続する。
2. cockpit-tlsがTLS終端処理を行う。
3. cockpit-wsがユーザ認証を処理する。
4. cockpit-bridgeがシステムAPIへリクエストを中継する。
5. レスポンスが逆順でWebブラウザに返される。

Cockpitはモジュール式の設計を採用しており、デフォルトでインストールされるパッケージと追加でインストール可能なパッケージが存在する。

デフォルトパッケージ

下表に、デフォルトでインストールされる主要パッケージを示す。

追加パッケージ

必要に応じて追加でインストール可能なパッケージを以下に示す。

RHEL

Cockpitをインストールする。

sudo dnf install cockpit

Cockpitを有効化する。

sudo systemctl enable --now cockpit.socket

外部PCから操作する場合は、ファイアウォールのポートを開く。

sudo firewall-cmd --permanent --add-service=cockpit
sudo firewall-cmd --reload

SUSE (SLE 16) の場合

Cockpitをパターンとしてインストールする。

sudo zypper install -t pattern cockpit

Cockpitを有効化する。

sudo systemctl enable --now cockpit.socket

外部PCから操作する場合は、ファイアウォールのポートを開く。

sudo firewall-cmd --permanent --zone=public --add-service=cockpit
sudo firewall-cmd --reload

Webブラウザを起動して、以下に示すアドレスを入力する。

http://<IPアドレス>:9090
# または
http://localhost:9090

Cockpitの設定ファイルは、/etc/cockpit/cockpit.conf ファイルである。
INI形式で記述し、必須ではなく、必要に応じて手動で作成する。

[WebService]セクション

下表に、Webサービスに関する設定項目を示す。

[Log]セクション

下表に、ロギングに関する設定項目を示す。

[Session]セクション

下表に、セッションに関する設定項目を示す。

設定ファイルの記述例

/etc/cockpit/cockpit.conf ファイルの記述例を以下に示す。

 [WebService]
 Origins = https://example.com:443
 ProtocolHeader = X-Forwarded-Proto
 ForwardedForHeader = X-Forwarded-For
 AllowUnencrypted = false
 LoginTitle = System Administration
 LoginTo = false
 MaxStartups = 10
 
 [Log]
 Fatal = criticals, warnings
 
 [Session]
 IdleTimeout = 30
 Banner = /etc/issue

Cockpitの証明書ファイルは、/etc/cockpit/ws-certs.d/ ディレクトリに配置する。
.cert ファイルはPEM形式で、サーバ証明書・中間CA証明書・秘密鍵を含む。

TLS証明書が存在しない場合、sscg または openssl コマンドで自己署名証明書 (0-self-signed.cert) が自動生成される。

証明書の状態を確認するには、以下のコマンドを実行する。

sudo /usr/libexec/cockpit-certificate-ensure --check

Let's Encrypt証明書の配置

Let's Encrypt証明書をCockpit用に配置する場合は、証明書と秘密鍵を結合してファイルを作成する。

cat /etc/letsencrypt/live/example.com/fullchain.pem \
    /etc/letsencrypt/live/example.com/privkey.pem   \
    > /etc/cockpit/ws-certs.d/example.cert

certmongerによる管理

certmongerを使用して証明書を管理する場合は、以下のコマンドを実行する。

getcert request -f /etc/cockpit/ws-certs.d/server.cert -k /etc/cockpit/ws-certs.d/server.key

Cockpitのデフォルトポートは、9090 番ポートである。
ポートを変更するには、systemd socketのオーバーライドファイルを作成する。

以下のディレクトリとファイルを作成する。

sudo mkdir -p /etc/systemd/system/cockpit.socket.d
sudo vi /etc/systemd/system/cockpit.socket.d/listen.conf

設定ファイルに以下の内容を記述する。
9090番ポートを無効化する場合は、最初の ListenStream= の空行でデフォルトポート9090をリセットする必要がある。

 [Socket]
 ListenStream=
 ListenStream=443

変更を反映する。

sudo systemctl daemon-reload
sudo systemctl restart cockpit.socket

SELinux環境でのポート変更

SELinux環境では、新しいポートにSELinuxコンテキストを付与する追加設定が必要である。

新しいポート (例: 9999) に対してSELinuxコンテキストを付与する場合は、以下のコマンドを実行する。

sudo semanage port -a -t websm_port_t -p tcp 9999

既存ポート (例: 443) に対してSELinuxコンテキストを変更する場合は、以下のコマンドを実行する。

sudo semanage port -m -t websm_port_t -p tcp 443

CockpitをNginxやApacheのリバースプロキシ経由で公開する場合は、WebSocket接続の設定が必要である。
また、リバースプロキシの背後に配置する場合、/cockpit/ および /cockpit+ は予約済みパスのため使用禁止である。

Nginxの設定

Nginxのリバースプロキシ設定例を以下に示す。

 server {
    listen 443 ssl;
    server_name example.com;
 
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
 
    location / {
       proxy_pass https://localhost:9090;
       proxy_http_version 1.1;
       proxy_buffering off;
       proxy_set_header Upgrade $http_upgrade;
       proxy_set_header Connection "upgrade";
       proxy_set_header X-Forwarded-Proto $scheme;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header Host $host;
    }
 }

Apacheの設定

Apacheのリバースプロキシ設定例を以下に示す。
mod_proxy、mod_proxy_http、mod_proxy_wstunnel、mod_ssl、mod_rewrite モジュールが必要である。

 <VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLCertificateFile /path/to/cert.pem
    SSLCertificateKeyFile /path/to/key.pem
 
    ProxyPreserveHost On
    ProxyRequests Off
 
    ProxyPass / https://localhost:9090/ nocanon
    ProxyPassReverse / https://localhost:9090/
 
    RequestHeader set X-Forwarded-Proto "https"
 
    RewriteEngine On
    RewriteCond %{HTTP:Upgrade} =websocket [NC]
    RewriteRule /(.*) wss://localhost:9090/$1 [P,L]
 </VirtualHost>

cockpit.confの対応設定

リバースプロキシを使用する場合は、/etc/cockpit/cockpit.conf ファイルに以下の設定を追加する。

 [WebService]
 Origins = https://example.com:443
 ProtocolHeader = X-Forwarded-Proto
 ForwardedForHeader = X-Forwarded-For

プライマリサーバの認証方法

Cockpitが動作するサーバへの認証方法を以下に示す。

• ローカルアカウント

  システム上のローカルアカウント (ユーザ名・パスワード) でログインする方法である。

  PAM認証ポリシー (/etc/pam.d/cockpit) によって制御される。

  
  

• Kerberos / SSO

  エンタープライズSSO統合による認証方法である。

  有効なKerberosチケットを保持するユーザは自動認証される。

  前提として、サーバがドメインに参加済み (realm join example.com) であり、

  /etc/krb5.keytab または /etc/cockpit/krb5.keytab ファイルに有効なホストキーが存在することが必要である。

  
  

• クライアント証明書 / スマートカード

  PKI認証による方法である。

  クライアント証明書またはスマートカードを使用した認証を提供する。

セカンダリサーバの認証方法

Cockpit経由でリモートホストにSSH接続する時の認証方法を以下に示す。

• パスワード認証
• Kerberos認証
• 公開鍵認証 (ssh-agent経由)
• ホストキー検証

Cockpitは、単一のセッションから複数のリモートホストをSSH経由で管理できる。
リモートホスト側ではCockpitのWebサーバは不要で、最小限のパッケージのみで管理が可能である。

リモートホストの要件

管理対象のリモートホストに必要な条件を以下に示す。

• cockpit-systemパッケージのインストール (最小限の必須パッケージ)
• cockpit.socketの有効化は不要
• TLS証明書の設定は不要
• SSHポート (デフォルト: 22/tcp) のみ開放

リモートホストの追加手順

1. Cockpit UIで[新規ホスト追加]を選択する。
2. リモートサーバのIPアドレスを入力する。
3. ログインユーザ名を入力する。

CockpitはfirewalldとUI統合されており、定義済みサービスの表示・追加・削除がWebUIから操作できる。

firewalldによる設定

Cockpitサービスをfirewalldに登録する場合は、以下のコマンドを実行する。

sudo firewall-cmd --permanent --add-service=cockpit
sudo firewall-cmd --reload

手動ポート指定による設定

サービス名ではなくポート番号を直接指定する場合は、以下のコマンドを実行する。

sudo firewall-cmd --permanent --add-port=9090/tcp
sudo firewall-cmd --reload

デフォルトでは、セキュリティ上の理由により、rootユーザを使用することはできない。
もし、WebコンソールでrootユーザとしてリモートPCへ接続する場合は、/etc/cockpit/disallowed-users ファイルを編集してrootログインを許可する。

sudo vi /etc/cockpit/disallowed-users

 # /etc/cockpit/disallowed-usersファイル
 
 # 編集前
 root
 
 # 編集後
 #root

ログインシェルを変更している場合、SELinuxのポリシーで cockpit_session_t コンテキストから user_home_t コンテキストのzshの実行が拒否される時がある。
これは、ログインシェルとして使用しているシェルのインストールディレクトリがホームディレクトリに存在、または、適切なSELinuxコンテキストを持っていないためである。

まず、/usr ディレクトリ内にログインシェルをインストールしている場合は、ログインシェルのSELinuxコンテキストを修正する。
その他のディレクトリ内にログインシェルをインストールしている場合は、SELinuxポリシーにルールを追加する。

ログインシェルのSELinuxコンテキストを修正

まず、ログインシェルのインストールディレクトリを確認する。

which <ログインシェル  例 : zsh>

次に、ファイルのSELinuxコンテキストラベルを、システムのデフォルトポリシーに基づいた正しい値に復元する。
また、適切なSELinuxラベル (例 : shell_exec_t) を再設定して、cockpit_sessionから実行可能にする。

sudo restorecon -v <ログインシェルのインストールディレクトリ  例 : /usr/bin/zsh>

SELinuxポリシーにルールを追加

まず、カスタムポリシーモジュールを作成する。

# ログからポリシーを生成
sudo ausearch -m avc -ts recent | grep cockpit | audit2allow -M cockpit_zsh

次に、ポリシーモジュールを読み込む。

sudo semodule -i cockpit_zsh.pp

Cockpitを安全に運用するための推奨される事柄を以下に示す。

認証とアクセス制御

• rootユーザでの直接ログインは避け、sudo / polkit経由の権限昇格を推奨する。
• SSH鍵認証を推奨する。(パスワード認証より安全)
• CockpitはCSPヘッダを送信して、インストール済みコードのみ実行を許可する。

ネットワークセキュリティ

• 9090番ポートをネットワークに公開する場合は、ファイアウォールでアクセス元を制限する。
• 自己署名証明書は開発・テスト環境のみに使用して、本番環境ではLet's Encrypt等の正規証明書を使用する。

ログ監視

Cockpitのログを監視するには、以下のコマンドを実行する。

sudo journalctl -u cockpit

Cockpitのログイン画面やUIのブランディングをカスタマイズできる。
カスタマイズファイルは /usr/share/cockpit/branding/ ディレクトリに配置する。

カスタマイズ可能なファイル

CSSカスタマイズ

branding.css ファイルでは、CSS変数 --ct-color-host-accent を使用してシェルパネルのアクセントカラーを制御できる。

 :root {
    --ct-color-host-accent: #0066cc;
 }

下表に、Cockpitに関する主な問題と対処法を示す。

アップストリームのソースコードはGithubでホストされている。
始めるには、Contributingを参照すること。

アプリケーションを開発するのに役立つ Cockpitチュートリアル も存在する。