kaffa/obsidian
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

edge: cf-zone-sync cron 영구 제거 (cleanup-2 인시던트 근본 원인)

Browse Source 
- /etc/cron.d/cf-zone-sync 파일 삭제
- /usr/local/bin/auto-add-cf-zones.sh → .disabled.20260410-incident archive (chmod 600)
- 신규 zone 추가는 cfb-manager POST /domains 또는 수동 yaml edit
- bouncer 정상 running 확인 (PID 371770 uptime 1h28min)
This commit is contained in:
kappa
2026-04-10 11:21:00 +09:00
parent 7a8230dbf6
commit 8fc6a34cc8
1 changed files with 1 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files

2
infra/crowdsec-safeline.md
View File

@@ -193,7 +193,7 @@ ddos-detect AI 분석기 폐기 후 deterministic 패턴 매칭으로 대체.
| 보호 zone (현재) | keepanker.cv, actions.it.com, ironclad.it.com, servidor.it.com (4 zone, 2026-04-10 cf-audit-cleanup-2 후) |
| 제거된 zone | inouter.com, anvil.it.com — DNS `proxied: false` 라 CF 엣지를 거치지 않아 enforce 안 되던 dead route. 보호는 BunnyCDN 미들웨어 64811 단독. 2026-04-10 cfb-manager DELETE + 002323 단계 destructive cleanup → 003943 수동 YAML 수리 → 005203 kappa 긴급 복구 (cron 비활성화 + 백업 복원) |
| Turnstile | bouncer-managed 4개 (rotate 168h, 005217 신규 생성: servidor `0x4AAAAAAC3rgjWkt-40fI7d`, actions `0x4AAAAAAC3rg3VTXEllaMhY`, keepanker `0x4AAAAAAC3rhJWcBgQ5aPym`, ironclad `0x4AAAAAAC3rhaCWqBq5Qgza`), + 별도 수동 위젯 `inouter-bunny-middleware` (`0x4AAAAAAC3otPWhldI96Aks`) — BunnyCDN 미들웨어 64811 전용, bouncer 관리 외 freeze. [[cloudflare#Turnstile 토큰 권한 (2026-04-10 사실)]] |
| **cron `cf-zone-sync` 비활성화 상태** | `/etc/cron.d/cf-zone-sync.disabled.kappa-incident-20260410`. 원본 cron 은 매 10분마다 `auto-add-cf-zones.sh` 실행 → CF 의 모든 zone 을 자동으로 yaml 에 추가하는 동작. inouter/anvil 을 의도적으로 제외하려는 cleanup-2 와 정면 충돌해 (1) 깨진 indent 로 yaml 파괴 (2) bouncer crashloop 유발. 영구 수정 필요 — 옵션: 스크립트에 exclusion 리스트 지원 추가, 또는 cron 제거 + 수동 관리 전환. 결정 전까지 비활성화 유지 |
| **cron `cf-zone-sync` 영구 제거 (2026-04-10)** | 원본 cron 은 매 10분마다 `auto-add-cf-zones.sh` 실행 → CF 의 모든 zone 을 자동으로 yaml 에 추가 (12-space indent bug 로 yaml 파괴, cleanup-2 인시던트 근본 원인). kappa 판단: exclusion 지원 재작성보다 **자동 쓰기 자체를 제거** 가 옳음 (yaml 에 쓰는 주체가 하나여야 coordination 문제 해소). 조치: `/etc/cron.d/cf-zone-sync` 파일 삭제, `/usr/local/bin/auto-add-cf-zones.sh` 는 post-mortem 용 archive (`.disabled.20260410-incident`, chmod 600). `/usr/local/bin/sync-cf-zones.sh` (older, detect-only 버전) 는 cron 미참조 + yaml 편집 없음이라 그대로 유지. `/var/log/cf-zone-sync.log` 는 history 로 유지. 신규 zone 추가 시 = cfb-manager `POST /domains` 또는 수동 yaml edit + systemctl restart |
#### Decision 수동 관리