최근에 저는 RHEL 7.8 호스트에서 Tenable Nessus Plugin #51192 문제, 즉 "SSL 인증서를 신뢰할 수 없습니다"를 다루고 있었습니다.
Tenable Nessus는 TCP 포트 8443, 8444 및 9100의 "www" 서비스로 인해 취약점이 발생한다고 보고했습니다.
그래서 해당 호스트에서 "netstat -tulnp"의 출력을 가져왔고 다음 프로그램이 위의 TCP 포트를 활용한다는 것을 발견했습니다.
tcp 0 0 0.0.0.0:8443 0.0.0.0:* LISTEN 25514/openshift
tcp 0 0 0.0.0.0:8444 0.0.0.0:* LISTEN 85402/openshift
tcp6 0 0 :::9100 :::* LISTEN 3028/kube-rbac-prox
또한 "ps" 명령을 통해 이러한 프로그램을 검사한 결과 다음과 같은 세부 정보를 얻었습니다.
PID TTY STAT TIME COMMAND
25514 ? Ssl 47024:19 openshift start master api --config=/etc/origin/master/master-config.yaml --loglevel=2
85402 ? Ssl 752:23 openshift start master controllers --config=/etc/origin/master/master-config.yaml --listen=https://0.0.0.0:8444 --loglevel=2
3028 ? Ssl 10:14 /usr/bin/kube-rbac-proxy --secure-listen-address=:9100 --upstream=http://127.0.0.1:9101/ --tls-cert-file=/etc/tls/private/tls.crt --tls-private-key-fil
이 openshift 또는 k8s가 잘못된 SSL 인증서가 있는 웹 서비스를 사용하고 있는 것 같습니다.
이 플러그인 #51192에 대한 SSL 인증서를 수정하기 위한 올바른 대상이 무엇인지 명확히 하고 싶었습니다. 웹 SSL 인증서만 복구해야 합니까? (이것이 openshift/k8s 웹을 사용하는 프로덕션 서비스에 어떤 영향을 미칠지는 확실하지 않습니다.)