LXC-Container unter Ubuntu 14.04 sicher bereitstellen und verwalten

• Vorbereitungen
• Betriebssystem-Setup
• Netzwerk
• SSH-Zugriff
• Zusätzliche Einstellungen
• Port-Weiterleitung
• Getrennte Behälter

LXC-Container (Linux-Container) sind eine Betriebssystemfunktion unter Linux, mit der mehrere isolierte Linux-Systeme auf einem einzigen Host ausgeführt werden können.

Diese Anweisungen führen Sie durch die grundlegenden Schritte der Serverkonfiguration für das Hosting isolierter Linux-Container. Wir werden die folgenden Funktionen konfigurieren:

• LXC-Container mit Ubuntu 14.
• Linux-Netzwerkeinstellungen und Portweiterleitung für Container.
• SSH-Weiterleitung für die Containerverwaltung so einfach wie ssh [email protected]undssh [email protected]
• Nginx-Proxy-Konfiguration für den Zugriff auf Websites in Containern (nach Hostname).
• Zusätzliche Sicherheitsverbesserungen für eine ordnungsgemäße Serververwaltung.

In diesem Handbuch wird davon ausgegangen, dass:

• Sie haben ein Konto bei Vultr.com .
• Sie wissen, wie Sie eine virtuelle Maschine mit einer benutzerdefinierten ISO konfigurieren.
• Sie wissen, wie man SSH-Schlüssel verwendet, und Sie haben bereits öffentliche und private Schlüssel generiert.

Am Ende des Tutorials erhalten wir zwei virtuelle Container, die Zugriff auf das Internet haben, sich aber nicht gegenseitig anpingen können. Wir werden auch die Portweiterleitung von example.comzu Containern konfigurieren . Wir werden das sichere Konfigurations- und Verwaltungsfenster mithilfe von Tools aus dem Proxmox-Paket bereitstellen.

Vorbereitungen

Wir werden Proxmox nur für die Verwaltung von LXC-Containern verwenden. Im Allgemeinen wird auch KVM unterstützt, aber verschachtelte Virtualisierung ist in Vultr verboten. Vor dem Start sollte eine Proxmox ISO von der offiziellen Website heruntergeladen werden. Wir werden die verwenden Proxmox VE 5.0 ISO Installer. Installieren Sie das Betriebssystem vom Image mit den Standardeinstellungen und starten Sie die virtuelle Maschine neu. Sie können proxmox auch manuell aus Quellen installieren, dies ist jedoch in den meisten Fällen nicht erforderlich (befolgen Sie die Anweisungen hier ).

Betriebssystem-Setup

Stellen Sie über SSH eine Verbindung zu Ihrem Host her, aktualisieren Sie die Liste der Proxmox-Vorlagen und laden Sie eine geeignete Vorlage für Container herunter.

apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz

Jetzt müssen wir einen Linux-Container mit einer Netzwerkschnittstelle erstellen, die mit einer Linux-Bridge verbunden ist. Öffnen Sie /etc/network/interfacesdie folgenden Zeilen und hängen Sie sie an:

auto vmbr1
iface vmbr1 inet static
    address  10.100.0.1
    netmask  255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0

Nach dem Neustart des Systems können Sie aus der Ubuntu 14.04Vorlage einen neuen Container erstellen .

pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1

Sie können Ihren Container mit überprüfen pct list, Container # 200 mit starten pct start 200und seine Shell mit eingeben pct enter 200. Sie können auch Netzwerkeinstellungen und Adressen mit überprüfen ip addr.

Netzwerk

Um eine Internetverbindung in Ihrem Container bereitzustellen, müssen wir diese aktivieren NAT. Im Folgenden kann der Datenverkehr mithilfe der NAT-Technologie vom Container ins Internet weitergeleitet werden. Die vmbr0Brücke ist mit der externen Schnittstelle verbunden und die vmbr1Brücke ist mit den Containern verbunden.

sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT

Geben Sie den Container mit ein pct enter 200und konfigurieren Sie den darin enthaltenen Webserver.

apt-get update
apt-get install nginx
service nginx start
exit

Jetzt müssen wir Nginx auf Ihrem Server so konfigurieren, dass Websites in Container übertragen werden.

apt-get update
apt-get install nginx

Erstellen Sie eine neue Konfigurationsdatei /etc/nginx/sites-available/box200mit folgendem Inhalt:

server {
    listen 80;
    server_name server200.example.com;

    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $remote_addr;

    location / {
        proxy_pass http://10.100.0.200/;
    }
}

Nginx überträgt nun jede HTTP-Anforderung server200.example.comvon Ihrem Server an den Container mit der IP 10.100.0.200. Aktivieren Sie diese Konfiguration.

ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart

SSH-Zugriff

Wenn Sie einen einfachen Zugriff auf Sandboxen ermöglichen möchten, müssen Sie SSH-Sitzungen in die Container weiterleiten. Erstellen Sie dazu einen neuen Benutzer auf Ihrem Root-Server. Vergessen Sie nicht, ein Passwort einzugeben, andere Parameter sind nicht erforderlich.

adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit

Kopieren Sie diesen SSH-Schlüssel und geben Sie den Container ein, um den Schlüssel anzuhängen.

pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit

Fügen Sie auf Ihrem Server der .ssh/authorized_keysDatei die folgende Zeile hinzu .

command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>

Vergessen Sie nicht, <YOUR SSH KEY>zu Ihrem öffentlichen Hauptschlüssel zu wechseln . Alternativ können Sie Folgendes über die Befehlszeile ausführen.

echo 'command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys

Anschließend können Sie mit ssh eine Verbindung zu Ihrer Sandbox herstellen.

`ssh box200@<your_server_IP>`

Zusätzliche Einstellungen

Es ist Zeit, mehrere Sicherheitsverbesserungen zu implementieren. Zunächst möchten wir den Standard-SSH-Port ändern. Dann möchten wir unsere Proxmox-Verwaltungsseite mit einer grundlegenden HTTP-Authentifizierung schützen.

nano /etc/ssh/sshd_config

Kommentar entfernen und Zeile ändern

#Port 22 

zu

Port 24000 

Starten Sie ssh neu.

service ssh restart

Stellen Sie mit dem neuen Port erneut eine Verbindung zu ssh her.

ssh root@<your_IP> -p 24000

Legen Sie ein Proxmox-Passwort fest.

Datei erstellen /etc/default/pveproxy.

ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"

Starten Sie neu, pveproxydamit die Änderungen wirksam werden.

/etc/init.d/pveproxy restart

Konfigurieren Sie nginx (falls Sie dies noch nicht getan haben).

apt-get install nginx
service nginx restart

Erstellen Sie eine Standardkonfiguration in /etc/nginx/site-available/default.

server {
        listen          80;
        server_name     example.com;
        rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}
server {
        listen                   443 ssl;
        server_name              example.com;
        #auth_basic              "Restricted";
        #auth_basic_user_file    htpasswd;
        #location / { proxy_pass https://127.0.0.1:8006; }
}

Besorgen Sie sich ein gültiges SSL-Zertifikat und aktualisieren Sie Ihre Nginx-Konfiguration. Dies kann beispielsweise mit Hilfe von certbox und letsencrypt erfolgen. Weitere Informationen finden Sie hier .

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx

Jetzt sollte Ihre Nginx-Konfiguration so aussehen (oder Sie können sie später manuell ändern). Vergessen Sie nicht, die Zeilen ssl, auth und location zu kommentieren.

server {
    listen          80;
    server_name     example.com;
    rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}

server {
        listen                  443 ssl;
        server_name             example.com;
        ssl on;
        auth_basic              "Restricted";
        auth_basic_user_file    htpasswd;
        location / { proxy_pass https://127.0.0.1:8006; }        

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}

Erstellen Sie eine /etc/htpasswdDatei mit dem Htpasswd-Generator .

nano /etc/nginx/htpasswd

Starten Sie Nginx neu

service nginx restart

Sie können die Verwaltungskonsole jetzt https://example.comnach der Standardauthentifizierung aktivieren.

Port-Weiterleitung

Die Container sind jetzt über HTTP-Anforderungen und SSH verfügbar. Jetzt können wir die Portweiterleitung vom externen Server zu den Containern konfigurieren. Zum Beispiel für die Zuordnung example.com:8080zur 10.100.0.200:3000Eingabe der folgenden.

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000

Sie können die aktuellen Regeln anzeigen.

`iptables -t nat -v -L PREROUTING -n --line-number`

Sie können eine Regel auch nach Nummer wie folgt löschen.

`iptables -t nat -D PREROUTING <#>`.

Getrennte Behälter

Wir können jetzt von einem anderen auf einen Container zugreifen.

pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200

Wenn Sie den Zugriff von Container 250 auf 200 beschränken möchten, müssen Sie jeden Container mit einer persönlichen Bridge verbinden und die Weiterleitung zwischen Bridges deaktivieren.

1. Löschen Sie vorhandene Container.

   pct stop 200
   pct stop 250
   pct destroy 200
   pct destroy 250
   

2. Ändern Sie den Inhalt von /etc/network/interfaces.

   auto vmbr1
   iface vmbr1 inet static
       address  10.100.1.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   
   auto vmbr2
   iface vmbr2 inet static
       address  10.100.2.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   

3. reboot das System

4. Weiterleitung aktivieren

   `sysctl -w net.ipv4.ip_forward=1`
   

   Um diese Änderungen dauerhaft zu machen, können Sie die /etc/sysctl.confDatei bearbeiten und den folgenden Text suchen.

   #net.ipv4.ip_forward=1
   

   Kommentieren Sie es aus.

   net.ipv4.ip_forward=1
   

   Sie können auch ausführen sysctl -p, damit die Änderungen sofort wirksam werden.

5. Erstellen Sie Container.

   pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
   pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
   

6. Starten Sie die Container mit pct start 200und pct start 250.

7. Spüle die iptablesRegeln.

   iptables -F
   

8. Aktivieren Sie NAT.

   iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
   

   vmbr0 ist die Brücke, die eine externe Schnittstelle enthält.

9. Weiterleitung von der externen Schnittstelle zulassen.

   iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
   

10. Weiterleitung von den Containern ins Internet zulassen.

    iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
    iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
    

11. Löschen Sie die andere Weiterleitung.

    iptables -A FORWARD -i vmbr1 -j DROP
    iptables -A FORWARD -i vmbr2 -j DROP
    

Überprüfen Sie nun, ob 10.100.1.200Ping, 8.8.8.8aber nicht Ping 10.100.2.250und 10.100.2.250Ping, 8.8.8.8aber nicht Ping möglich ist 10.100.1.200.

Die Reihenfolge der Befehle in Bezug auf iptables ist wichtig. Der beste Weg, um Ihre Regeln zu bedienen, ist die Verwendung iptables-persistent. Dieses Paket hilft Ihnen beim Speichern von iptables-Regeln in den Dateien /etc/iptables/rules.v4und /etc/iptables/rules.v6kann diese nach dem Neustart des Systems automatisch laden. Installieren Sie es einfach mit den folgenden.

apt-get install iptables-persistent

Wählen Sie diese Option aus, YESwenn Sie dazu aufgefordert werden.