Bezpečne nasaďte a spravujte kontajnery LXC na Ubuntu 14.04

Kontajnery LXC (kontajnery Linux) sú funkciou operačného systému v systéme Linux, ktorú možno použiť na spustenie viacerých izolovaných systémov Linux na jednom hostiteľovi.

Tieto pokyny vás prevedú základnými krokmi konfigurácie servera pre izolovaný hosting kontajnerov Linuxu. Nakonfigurujeme nasledujúce funkcie:

• Kontajnery LXC s Ubuntu 14.
• Nastavenia siete Linux a presmerovanie portov pre kontajnery.
• Preposielanie SSH pre správu kontajnerov je také jednoduché ako ssh box1@example.comassh box2@example.com
• Konfigurácia proxy servera Nginx na prístup k webovým stránkam v kontajneroch (podľa názvu hostiteľa).
• Ďalšie vylepšenia zabezpečenia pre správnu správu servera.

Táto príručka predpokladá, že:

• Máte účet na Vultr.com .
• Viete, ako nakonfigurovať virtuálny počítač s vlastným ISO.
• Viete, ako používať SSH kľúče a máte už vygenerované verejné a súkromné ​​kľúče.

Na konci tutoriálu získame dva virtuálne kontajnery, ktoré budú mať prístup na internet, ale nemôžu si navzájom pingovať. Nakonfigurujeme aj presmerovanie portov z example.comdo kontajnerov. Nasadíme bezpečný konfiguračný a riadiaci panel pomocou nástrojov z balíka Proxmox.

Prípravky

Proxmox budeme používať iba na správu kontajnerov LXC. Vo všeobecnosti podporuje aj KVM, ale vnorená virtualizácia je na Vultr zakázaná. Pred spustením by ste si mali stiahnuť Proxmox ISO z oficiálnej webovej stránky. Použijeme Proxmox VE 5.0 ISO Installer. Nainštalujte OS z obrazu s predvolenými nastaveniami a reštartujte virtuálny počítač. Môžete tiež manuálne nainštalovať proxmox zo zdrojov, ale vo väčšine prípadov to nie je potrebné (postupujte podľa pokynov tu ).

Nastavenie OS

Pripojte sa k svojmu hostiteľovi pomocou SSH, aktualizujte zoznam šablón proxmox a stiahnite si vhodnú šablónu pre kontajnery.

apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz

Teraz musíme vytvoriť linuxový kontajner so sieťovým rozhraním pripojeným k linuxovému mostu. Otvorte /etc/network/interfacesa pripojte nasledujúce riadky:

auto vmbr1
iface vmbr1 inet static
    address  10.100.0.1
    netmask  255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0

Po reštarte systému môžete zo Ubuntu 14.04šablóny vytvoriť nový kontajner .

pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1

Svoj kontajner môžete overiť pomocou pct list, spustiť kontajner #200 pomocou pct start 200a zadať jeho shell pomocou pct enter 200. Sieťové nastavenia a adresy môžete overiť aj pomocou ip addr.

sieť

Na poskytovanie internetového pripojenia vo vašom kontajneri musíme povoliť NAT. Nasledujúce umožní presmerovanie prevádzky z kontajnera na internet pomocou technológie NAT. vmbr0Mostík je pripojený k externé rozhranie a vmbr1mostík je spojený s kontajnermi.

sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT

Zadajte kontajner s pct enter 200a nakonfigurujte webový server vo vnútri.

apt-get update
apt-get install nginx
service nginx start
exit

Teraz musíme nakonfigurovať Nginx na vašom serveri na proxy webové stránky do kontajnerov.

apt-get update
apt-get install nginx

Vytvorte nový konfiguračný súbor /etc/nginx/sites-available/box200s nasledujúcim obsahom:

server {
    listen 80;
    server_name server200.example.com;

    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $remote_addr;

    location / {
        proxy_pass http://10.100.0.200/;
    }
}

Nginx bude teraz proxy každú požiadavku HTTP server200.example.comz vášho servera do kontajnera s IP 10.100.0.200. Aktivujte túto konfiguráciu.

ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart

Prístup SSH

Ak chcete poskytnúť jednoduchý prístup k sandboxom, musíte preposlať relácie SSH do kontajnerov. Ak to chcete urobiť, vytvorte nového používateľa na koreňovom serveri. Nezabudnite zadať heslo, iné parametre nie sú potrebné.

adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit

Skopírujte tento kľúč SSH a zadajte kontajner na pripojenie kľúča.

pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit

Na svojom serveri pridajte do .ssh/authorized_keyssúboru nasledujúci riadok .

command="ssh root@10.100.0.200",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>

Nezabudnite zmeniť <YOUR SSH KEY>svoj domáci verejný kľúč. Prípadne môžete spustiť nasledovné z príkazového riadku.

echo 'command="ssh root@10.100.0.200",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys

Potom sa môžete pripojiť k svojmu sandboxu pomocou ssh.

`ssh box200@<your_server_IP>`

Ďalšie nastavenia

Je čas na implementáciu niekoľkých bezpečnostných vylepšení. Najprv chceme zmeniť predvolený port SSH. Potom chceme chrániť našu stránku správy Proxmox pomocou základnej autentifikácie HTTP.

nano /etc/ssh/sshd_config

Odkomentujte a zmeňte riadok

#Port 22 

do

Port 24000 

Reštartujte ssh.

service ssh restart

Znova sa pripojte k ssh s novým portom.

ssh root@<your_IP> -p 24000

Nastavte heslo Proxmox.

Create file /etc/default/pveproxy.

ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"

Restart pveproxy for the changes to take effect.

/etc/init.d/pveproxy restart

Configure nginx (if you haven’t done it before).

apt-get install nginx
service nginx restart

Create a default configuration in /etc/nginx/site-available/default.

server {
        listen          80;
        server_name     example.com;
        rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}
server {
        listen                   443 ssl;
        server_name              example.com;
        #auth_basic              "Restricted";
        #auth_basic_user_file    htpasswd;
        #location / { proxy_pass https://127.0.0.1:8006; }
}

Obtain a valid SSL certificate and update your nginx configuration. For example, it can be done with the help of certbox and letsencrypt. For more information, click here.

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx

Now, your nginx config should look like this (or you can change it manually after). Do not forget to uncomment ssl, auth and location lines.

server {
    listen          80;
    server_name     example.com;
    rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}

server {
        listen                  443 ssl;
        server_name             example.com;
        ssl on;
        auth_basic              "Restricted";
        auth_basic_user_file    htpasswd;
        location / { proxy_pass https://127.0.0.1:8006; }        

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}

Create an /etc/htpasswd file using the Htpasswd generator.

nano /etc/nginx/htpasswd

Restart Nginx

service nginx restart

You can now view the management console on https://example.com after basic authentication.

Port Forwarding

Kontajnery sú teraz dostupné prostredníctvom požiadaviek HTTP a SSH. Teraz môžeme nakonfigurovať presmerovanie portov z externého servera do kontajnerov. Napríklad, pre mapovanie example.com:8080na 10.100.0.200:3000vstup nasledujúceho.

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000

Môžete si pozrieť aktuálne pravidlá.

`iptables -t nat -v -L PREROUTING -n --line-number`

Pravidlo môžete odstrániť aj podľa čísla pomocou nasledujúceho.

`iptables -t nat -D PREROUTING <#>`.

Oddelené nádoby

Teraz môžeme pristupovať k jednému kontajneru z druhého.

pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200

Ak chcete obmedziť prístup z kontajnera 250 na 200, musíte každý kontajner pripojiť k osobnému mostu a zakázať preposielanie medzi mostmi.

1. Odstráňte existujúce kontajnery.

   pct stop 200
   pct stop 250
   pct destroy 200
   pct destroy 250
   

2. Zmeňte obsah /etc/network/interfaces.

   auto vmbr1
   iface vmbr1 inet static
       address  10.100.1.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   
   auto vmbr2
   iface vmbr2 inet static
       address  10.100.2.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   

3. reboot systém

4. Povoliť preposielanie

   `sysctl -w net.ipv4.ip_forward=1`
   

   Ak chcete, aby boli tieto zmeny trvalé, môžete /etc/sysctl.confsúbor upraviť a nájsť nasledujúci text.

   #net.ipv4.ip_forward=1
   

   Odkomentujte to.

   net.ipv4.ip_forward=1
   

   Môžete tiež spustiť sysctl -p, aby sa zmeny prejavili okamžite.

5. Vytvorte kontajnery.

   pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
   pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
   

6. Začnite nádoby pomocou pct start 200a pct start 250.

7. Opláchnite iptablespravidlá.

   iptables -F
   

8. Povoliť NAT.

   iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
   

   vmbr0 je most, ktorý obsahuje externé rozhranie.

9. Povoliť preposielanie z externého rozhrania.

   iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
   

10. Povoliť preposielanie z kontajnerov na internet.

    iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
    iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
    

11. Zrušte ďalšie presmerovanie.

    iptables -A FORWARD -i vmbr1 -j DROP
    iptables -A FORWARD -i vmbr2 -j DROP
    

Teraz skontrolujte, že 10.100.1.200môže ping, 8.8.8.8ale nemôže ping 10.100.2.250a že 10.100.2.250môže ping, 8.8.8.8ale nemôže ping 10.100.1.200.

Dôležité je poradie príkazov súvisiacich s iptables. Najlepší spôsob, ako ovládať svoje pravidlá, je použiť iptables-persistent. Tento balík vám pomáha uložiť pravidlá iptables do súborov /etc/iptables/rules.v4a /etc/iptables/rules.v6môže ich automaticky načítať po reštarte systému. Stačí ho nainštalovať pomocou nasledujúceho.

apt-get install iptables-persistent

YESPo zobrazení výzvy vyberte .