Implemente y administre de forma segura contenedores LXC en Ubuntu 14.04

• Preparativos
• Configuración del sistema operativo
• Red
• Acceso SSH
• Ajustes adicionales
• Reenvío de puertos
• Contenedores Separados

Los contenedores LXC (contenedores Linux) son una característica del sistema operativo en Linux que se puede usar para ejecutar múltiples sistemas Linux aislados en un solo host.

Estas instrucciones lo guiarán a través de los pasos básicos de configuración del servidor para el alojamiento de contenedores de Linux aislados. Configuraremos las siguientes características:

• Contenedores LXC con Ubuntu 14.
• Configuración de red de Linux y reenvío de puertos para contenedores.
• Reenvío SSH para la administración de contenedores tan simple como ssh [email protected]yssh [email protected]
• Configuración de proxy Nginx para acceder a sitios web dentro de contenedores (por nombre de host).
• Mejoras de seguridad adicionales para la gestión adecuada del servidor.

Esta guía asume que:

• Tienes una cuenta en Vultr.com .
• Sabe cómo configurar una máquina virtual con un ISO personalizado.
• Usted sabe cómo usar las claves SSH y ya ha generado claves públicas y privadas.

Al final del tutorial, obtendremos dos contenedores virtuales que tendrán acceso a Internet, pero que no pueden hacer ping entre sí. También configuraremos el reenvío de puertos example.coma los contenedores. Implementaremos un panel de configuración y administración seguro con la ayuda de herramientas del paquete Proxmox.

Preparativos

Usaremos Proxmox solo para la administración de contenedores LXC. En general, también es compatible con KVM, pero la virtualización anidada está prohibida en Vultr. Antes de comenzar, se debe descargar un ISO de Proxmox del sitio web oficial. Usaremos el Proxmox VE 5.0 ISO Installer. Instale el sistema operativo desde la imagen con la configuración predeterminada y reinicie la máquina virtual. Además, puede instalar manualmente proxmox desde las fuentes, pero eso no es necesario en la mayoría de los casos (siga las instrucciones aquí ).

Configuración del sistema operativo

Conéctese a su host por SSH, actualice la lista de plantillas proxmox y descargue una plantilla adecuada para contenedores.

apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz

Ahora, necesitamos crear un contenedor de Linux con una interfaz de red conectada a un puente de Linux. Abra /etc/network/interfacesy agregue las siguientes líneas:

auto vmbr1
iface vmbr1 inet static
    address  10.100.0.1
    netmask  255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0

Después de reiniciar el sistema, puede crear un nuevo contenedor a partir de la Ubuntu 14.04plantilla.

pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1

Puede verificar su contenedor utilizando pct list, inicie el contenedor # 200 con pct start 200e ingrese su shell con pct enter 200. También puede verificar la configuración de red y las direcciones con ip addr.

Red

Para proporcionar conexión a Internet dentro de su contenedor, debemos habilitarlo NAT. Lo siguiente permitirá que el tráfico se reenvíe desde el contenedor a Internet con la ayuda de la tecnología NAT. El vmbr0puente está conectado a la interfaz externa y el vmbr1puente está conectado a los contenedores.

sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT

Ingrese el contenedor con pct enter 200y configure el servidor web dentro.

apt-get update
apt-get install nginx
service nginx start
exit

Ahora, necesitamos configurar Nginx en su servidor para proxy de sitios web en contenedores.

apt-get update
apt-get install nginx

Cree un nuevo archivo de configuración /etc/nginx/sites-available/box200con el siguiente contenido:

server {
    listen 80;
    server_name server200.example.com;

    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $remote_addr;

    location / {
        proxy_pass http://10.100.0.200/;
    }
}

Nginx ahora enviará cada solicitud HTTP server200.example.comde su servidor al contenedor con IP 10.100.0.200. Activa esta configuración.

ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart

Acceso SSH

Si desea proporcionar un acceso fácil a los entornos limitados, debe reenviar las sesiones SSH a los contenedores. Para hacerlo, cree un nuevo usuario en su servidor raíz. No olvide ingresar una contraseña, otros parámetros no son necesarios.

adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit

Copie esta clave SSH e ingrese el contenedor para agregar la clave.

pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit

En su servidor, agregue la siguiente línea al .ssh/authorized_keysarchivo.

command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>

No olvide cambiar <YOUR SSH KEY>a la clave pública de su hogar. Alternativamente, puede ejecutar lo siguiente desde la línea de comandos.

echo 'command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys

Luego, puede conectarse a su sandbox con ssh.

`ssh box200@<your_server_IP>`

Ajustes adicionales

Es hora de implementar varias mejoras de seguridad. Primero, queremos cambiar el puerto SSH predeterminado. Entonces queremos proteger nuestra página de administración de Proxmox con autenticación HTTP básica.

nano /etc/ssh/sshd_config

Descomenta y cambia la línea

#Port 22 

a

Port 24000 

Reiniciar ssh.

service ssh restart

Vuelva a conectarse a ssh con el nuevo puerto.

ssh root@<your_IP> -p 24000

Establecer una contraseña de Proxmox.

Crear el archivo /etc/default/pveproxy.

ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"

Reinicie pveproxypara que los cambios surtan efecto.

/etc/init.d/pveproxy restart

Configure nginx (si no lo ha hecho antes).

apt-get install nginx
service nginx restart

Cree una configuración predeterminada en /etc/nginx/site-available/default.

server {
        listen          80;
        server_name     example.com;
        rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}
server {
        listen                   443 ssl;
        server_name              example.com;
        #auth_basic              "Restricted";
        #auth_basic_user_file    htpasswd;
        #location / { proxy_pass https://127.0.0.1:8006; }
}

Obtenga un certificado SSL válido y actualice su configuración nginx. Por ejemplo, se puede hacer con la ayuda de certbox y letsencrypt. Para más información, haga clic aquí .

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx

Ahora, su configuración nginx debería verse así (o puede cambiarla manualmente después). No olvide descomentar las líneas ssl, auth y location.

server {
    listen          80;
    server_name     example.com;
    rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}

server {
        listen                  443 ssl;
        server_name             example.com;
        ssl on;
        auth_basic              "Restricted";
        auth_basic_user_file    htpasswd;
        location / { proxy_pass https://127.0.0.1:8006; }        

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}

Cree un /etc/htpasswdarchivo usando el generador Htpasswd .

nano /etc/nginx/htpasswd

Reiniciar Nginx

service nginx restart

Ahora puede ver la consola de administración https://example.comdespués de la autenticación básica.

Reenvío de puertos

Los contenedores ahora están disponibles mediante solicitudes HTTP y SSH. Ahora, podemos configurar el reenvío de puertos desde el servidor externo a los contenedores. Por ejemplo, para mapear example.com:8080para 10.100.0.200:3000ingresar lo siguiente.

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000

Puede ver las reglas actuales.

`iptables -t nat -v -L PREROUTING -n --line-number`

También puede eliminar una regla por número con lo siguiente.

`iptables -t nat -D PREROUTING <#>`.

Contenedores Separados

Ahora podemos acceder a un contenedor desde otro.

pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200

Si desea restringir el acceso desde el contenedor 250 a 200, debe conectar cada contenedor a un puente personal y deshabilitar el reenvío entre puentes.

1. Eliminar contenedores existentes.

   pct stop 200
   pct stop 250
   pct destroy 200
   pct destroy 250
   

2. Cambiar el contenido de /etc/network/interfaces.

   auto vmbr1
   iface vmbr1 inet static
       address  10.100.1.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   
   auto vmbr2
   iface vmbr2 inet static
       address  10.100.2.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   

3. reboot el sistema

4. Habilitar reenvío

   `sysctl -w net.ipv4.ip_forward=1`
   

   Para hacer que estos cambios sean permanentes, puede editar el /etc/sysctl.confarchivo y encontrar el siguiente texto.

   #net.ipv4.ip_forward=1
   

   Descomentalo.

   net.ipv4.ip_forward=1
   

   También puede ejecutar sysctl -ppara que los cambios surtan efecto inmediatamente.

5. Crea contenedores.

   pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
   pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
   

6. Comience los contenedores con pct start 200y pct start 250.

7. Limpiar las iptablesreglas.

   iptables -F
   

8. Habilitar NAT.

   iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
   

   vmbr0 es el puente que incluye la interfaz externa.

9. Permitir reenvío desde la interfaz externa.

   iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
   

10. Permitir reenvío desde los contenedores a internet.

    iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
    iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
    

11. Suelta el otro reenvío.

    iptables -A FORWARD -i vmbr1 -j DROP
    iptables -A FORWARD -i vmbr2 -j DROP
    

Ahora, compruebe que 10.100.1.200puede hacer ping 8.8.8.8pero no puede hacer ping 10.100.2.250y que 10.100.2.250puede hacer ping 8.8.8.8pero no puede hacer ping 10.100.1.200.

El orden de los comandos relacionados con iptables es importante. La mejor manera de operar sus reglas es usarlas iptables-persistent. Este paquete le ayuda a guardar las reglas de iptables en los archivos /etc/iptables/rules.v4y /etc/iptables/rules.v6puede cargarlas automáticamente después de reiniciar el sistema. Simplemente instálelo con lo siguiente.

apt-get install iptables-persistent

Seleccione YEScuando se le solicite.