보안 강화, 무한 리다이렉션 문제 해결

 

현 상태로는 NginX 일회성 인증 절차만 뚫으면 시스템이 다 뚫리는 구조이기 때문에 안전하다 볼 수 없다.

또한 현재로썬 입력에 초당 요청 횟수 한계가 없어 brute-force attack에 취약하다.

때문에 먼저 내 공인 ip에서만 접속이 가능하게 하려 하였으나,

이동을 꽤 자주 하며 작업을 하는데 외부 wifi를 쓸 수 없게 된다는 건 꽤 치명적인 것 같다.

대신 rate-limit을 초당 10요청 정도로만 걸고,

기존에는 htpasswd를 Apache MD5로 해시했었는데

이 방법이 상당히 위험한 방법이라는 것을 알게 되어 Bcrypt로 방법을 변경했다.

근데 왜인지는 아직도 모르나 Bcrypt로 해시했을 때만 로그인이 안되더라.

그래서 그냥 SHA-1으로 해시했다.

이는 Bcrypt보다는 보안성이 약하지만 MD5보다는 강하다고 하더라.

 

추가로 Http로 내 도메인에 접근하면 Https로 리다이렉트하게 했었는데,

이 설정이 Cloudflare의 SSL/TLS 암호화 모드의 Flexible 설정과 충돌하여

무한 리다이렉팅 현상이 일어나 접속이 막혔다.

예상되는 문제는 다음과 같았다.

 

1. 브라우저가 https로 접근하면

2. Cloudflare는 NginX로 HTTP 요청을 보낸다 (Flexible 설정이기 때문)

3. NginX는 다시 Http 요청을 받았기에 설정대로 Https로 리다이렉션한다.

4. Cloudflare가 또다시 HTTP 요청을 보낸다

5. 반복

 

그래서 Full (Strict)로 했는데 이번엔 Invalid SSL certificate - Error code 526 에러가 떴다.

이건 cert.pem, cert.key 파일이 공인 인증 기관에서가 아닌 자체 서명 인증서이기 때문에 생기는 문제라고 한다.

때문에 Full (Strict) 가 아닌 그냥 Full로 설정을 바꿨더니 잘 작동되었다.