Cloudfalredをaptからインストールしてrootlessで安全に動かす

あらすじ

Cloudflaredはとても便利なツールですがダッシュボードで紹介されてる方法でインストールすると色々危険です。

rootとして実行される
シークレットをコマンドライン引数として渡してるのでhtopとかで誰でも見れる
~~↑お前本当にセキュリティ企業かよ~~

いい感じのインストール方法を探して見つけたので書いておきます

1. apt（もしくはdnf）リポジトリからCloudflaredのバイナリをインストール

公式ページの指示に従ってリポジトリを追加してインストールします。jammyですが普通に24.04でも動きました。

# Add cloudflare gpg key
sudo mkdir -p --mode=0755 /usr/share/keyrings
curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg >/dev/null

# Add this repo to your apt repositories
echo 'deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared jammy main' | sudo tee /etc/apt/sources.list.d/cloudflared.list

# install cloudflared
sudo apt-get update && sudo apt-get install cloudflared

2. Tunnelのトークン発行

ダッシュボードのTunnel新規作成画面から適当に名前を設定してトークンを生成します。
sudo cloudflared service install TOKENを実行しろとか出てきますが必要なのはTOKENの部分だけです。安全な場所にメモします。

3. サービスファイル生成

/etc/systemd/system/cloudflared.service のような適当な名前でサービスファイルを作って以下の内容を書き込みます。
systemdのセキュリティ機能を活用して安全性を高めています。

[Unit]
Description=Cloudflare Tunnel
After=network-online.target
Wants=network-online.target

[Service]
Type=notify

DynamicUser=true

# [YOUR_TOKEN]をダッシュボードで発行したトークンに変える
Environment=TUNNEL_TOKEN=[YOUR_TOKEN]
ExecStart=/usr/bin/cloudflared --no-autoupdate tunnel run --post-quantum

TimeoutStartSec=0
Restart=on-failure
RestartSec=5s

UMask=0077

LockPersonality=true
SystemCallArchitectures=native
SystemCallFilter=~ @privileged @clock @debug @module @mount @raw-io @reboot @swap @cpu-emulation @obsolete @chown @reboot
CapabilityBoundingSet=
RestrictNamespaces=true

MemoryDenyWriteExecute=true

PrivateDevices=true
PrivateTmp=true
ProtectHome=true
PrivateUsers=true
ProtectSystem=strict

NoNewPrivileges=true
ProtectKernelTunables=true
ProtectKernelModules=true
ProtectKernelLogs=true
ProtectControlGroups=true
ProtectClock=true
ProtectHostname=true

RestrictAddressFamilies=AF_UNIX AF_INET AF_INET6
RestrictSUIDSGID=true
RestrictRealtime=true

ProtectProc=invisible
ProcSubset=pid

InaccessiblePaths=/var

IPAddressDeny=any
# localhost以外にプロキシする場合はそのアドレスを追加してください
IPAddressAllow=127.0.0.1
IPAddressAllow=127.0.0.53

# Cloudflaredがトンネル確立するときに使うCIDR
# ref: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/deploy-tunnels/tunnel-with-firewall/
IPAddressAllow=198.41.128.0/17
IPAddressAllow=2606:4700::/32

[Install]
WantedBy=multi-user.target

4. Done

sudo systyemctl daemon-reloadしてからsudo systemctl enable --now cloudflaredを実行して有効化します。
これで完了です。

LEGAL NOTICE

当ウェブサイトの閲覧を続行することで、当ウェブサイトのプライバシーポリシーに同意したものと見做されます。当ウェブサイトのコンテンツに記載されている商標および名称は、各所有者の商標である可能性があります。

将来予想に関する記述: 当ウェブサイトには、将来予想に関する記述（場合によっては1933年米国証券法第27A条または1934年米国証券取引所法21E条（いずれもその後の改正を含む）に該当）が含まれるコンテンツがあり、重大なリスクおよび不確定要因を含んでいます。将来予想に関する記述は、「予定です」、「しそうです」、「なりそうです」、「場合があります」、「つもりです」、「するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいは予想、戦略、計画、または意図に関わるその他同様の用語および表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。当ウェブサイトのコンテンツに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。当ウェブサイトは、法律で義務付けられた場合を除き、コンテンツ投稿日の日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、このウェブサイトの将来予想に関する記述に過剰に依存すべきではありません。

当ウェブサイトの情報はなるべく正確であるように記述されていますが、当ウェブサイトの内容の正確性に関する保証は存在しません。当ウェブサイト上で紹介している内容はすべて自己責任で実行してください。当ウェブサイトで紹介している方法や内容を実践、参考にした結果として発生した所有物の物理的損傷、金銭損失、心身の故障、データ破損、訴訟、社会的地位の低下、アカウント凍結、精神的苦痛、法律違反、損害賠償請求、友人の喪失、恋人との破局、国際紛争、核戦争など、いかなる種類の損害（二次被害を含む）に対しても、当ウェブサイトの管理人及びコンテンツの執筆者は日本国内で有効な法律で義務付けられている範囲を除き一切の責任を負いかねます。

当ウェブサイトに掲載されている文面は、1.著作権法で認められている引用、及びフェアユースに該当する複製 2.改変を伴わない、もしくは文章の趣旨を変えない範囲での改変を伴う出典を明記した上での転載 3.大規模言語モデルなど生成AIのモデルのトレーニングに使用できます。ただし掲載されているスクリーンショットなどの画像の一部分若しくは全部の著作権は各著作権者に帰属します。これらを著作権法が認める範囲を除き、各著作権者の明示的な許可なしに無断で使用することはできません。