Ubuntu 14.04 पर LXC कंटेनरों को सुरक्षित रूप से तैनात और प्रबंधित करें

• तैयारी
• OS सेटअप
• नेटवर्क
• SSH पहुँच
• अतिरिक्त सेटिंग्स
• पोर्ट फॉरवार्डिंग
• अलग किए गए कंटेनर

एलएक्ससी कंटेनर (लिनक्स कंटेनर) लिनक्स में एक ऑपरेटिंग सिस्टम सुविधा है जिसका उपयोग एक ही होस्ट पर कई अलग-अलग लिनक्स सिस्टम को चलाने के लिए किया जा सकता है।

ये निर्देश आपको अलग-अलग लिनक्स कंटेनरों की मेजबानी के लिए सर्वर कॉन्फ़िगरेशन के बुनियादी चरणों के माध्यम से चलेंगे। हम निम्नलिखित विशेषताओं को कॉन्फ़िगर करेंगे:

• Ubuntu 14 के साथ LXC कंटेनर।
• लिनक्स नेटवर्क सेटिंग्स और कंटेनरों के लिए पोर्ट अग्रेषण।
• SSH कंटेनर प्रशासन के लिए अग्रेषित करना उतना ही सरल ssh [email protected]औरssh [email protected]
• कंटेनरों के अंदर वेबसाइटों तक पहुंचने के लिए नगनेक्स प्रॉक्सी कॉन्फ़िगरेशन (होस्टनाम द्वारा)।
• उचित सर्वर प्रबंधन के लिए अतिरिक्त सुरक्षा सुधार।

यह मार्गदर्शिका मानती है कि:

• आपका Vultr.com पर खाता है ।
• आप जानते हैं कि कस्टम आईएसओ के साथ वर्चुअल मशीन को कैसे कॉन्फ़िगर किया जाए।
• आप जानते हैं कि SSH कुंजियों का उपयोग कैसे किया जाता है और आपने सार्वजनिक और निजी कुंजियाँ पहले ही बना ली हैं।

ट्यूटोरियल के अंत में हमें दो वर्चुअल कंटेनर मिलेंगे जिनकी इंटरनेट तक पहुंच होगी, लेकिन एक दूसरे को पिंग नहीं कर सकते। हम example.comकंटेनर से पोर्ट अग्रेषण को भी कॉन्फ़िगर करेंगे । हम Proxmox पैकेट से उपकरणों की मदद से सुरक्षित कॉन्फ़िगरेशन और प्रबंधन पैनल तैनात करेंगे।

तैयारी

हम केवल LXC कंटेनरों के प्रबंधन के लिए Proxmox का उपयोग करेंगे। आम तौर पर, यह केवीएम का भी समर्थन करता है, लेकिन वल्चर पर नेस्टेड वर्चुअलाइजेशन निषिद्ध है। शुरू करने से पहले, आधिकारिक वेबसाइट से एक प्रोक्समॉक्स आईएसओ डाउनलोड किया जाना चाहिए। हम उपयोग करेंगे Proxmox VE 5.0 ISO Installer। डिफ़ॉल्ट सेटिंग्स के साथ छवि से ओएस स्थापित करें और वर्चुअल मशीन को रिबूट करें। इसके अलावा, आप मैन्युअल रूप से स्रोतों से प्रॉक्समॉक्स स्थापित कर सकते हैं, लेकिन यह ज्यादातर मामलों में आवश्यक नहीं है ( यहां निर्देशों का पालन करें )।

OS सेटअप

SSH द्वारा अपने होस्ट से कनेक्ट करें, समीपवर्ती टेम्प्लेट सूची को अपडेट करें और कंटेनरों के लिए उपयुक्त टेम्पलेट डाउनलोड करें।

apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz

अब, हमें एक लिनक्स ब्रिज बनाने की जरूरत है, जिसमें एक लिनक्स ब्रिज से जुड़ा नेटवर्क इंटरफेस हो। /etc/network/interfacesनिम्नलिखित पंक्तियों को खोलें और जोड़ें:

auto vmbr1
iface vmbr1 inet static
    address  10.100.0.1
    netmask  255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0

सिस्टम रिबूट के बाद, आप Ubuntu 14.04टेम्पलेट से एक नया कंटेनर बना सकते हैं ।

pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1

आप अपने कंटेनर का उपयोग करके सत्यापित कर सकते हैं pct list, कंटेनर # 200 को प्रारंभ करें pct start 200और इसके साथ अपना शेल दर्ज करें pct enter 200। आप नेटवर्क सेटिंग्स और पते भी सत्यापित कर सकते हैं ip addr।

नेटवर्क

अपने कंटेनर के अंदर इंटरनेट कनेक्शन प्रदान करने के लिए, हमें सक्षम करने की आवश्यकता है NAT। निम्नलिखित NAT तकनीक की मदद से कंटेनर से इंटरनेट तक यातायात को आगे बढ़ाने की अनुमति देगा। vmbr0पुल बाहरी इंटरफ़ेस से जुड़ा है और vmbr1पुल कंटेनर से जुड़ा है।

sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT

कंटेनर के साथ दर्ज करें pct enter 200और अंदर वेब सर्वर को कॉन्फ़िगर करें।

apt-get update
apt-get install nginx
service nginx start
exit

अब, हमें अपने सर्वर पर नंगेक्स को प्रॉक्सी वेबसाइटों को कंटेनरों में कॉन्फ़िगर करने की आवश्यकता है।

apt-get update
apt-get install nginx

/etc/nginx/sites-available/box200निम्नलिखित कन्टैंट के साथ एक नई कॉन्फ़िगरेशन फ़ाइल बनाएँ :

server {
    listen 80;
    server_name server200.example.com;

    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $remote_addr;

    location / {
        proxy_pass http://10.100.0.200/;
    }
}

अब server200.example.comनगनेक्स आपके सर्वर से कंटेनर के लिए आईपी 10.100.0.200 के साथ प्रत्येक HTTP अनुरोध को प्रॉक्सी करेगा । इस कॉन्फ़िगरेशन को सक्रिय करें।

ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart

SSH पहुँच

यदि आप सैंडबॉक्स के लिए आसान पहुंच प्रदान करना चाहते हैं, तो आपको कंटेनरों में एसएसएच सत्रों को अग्रेषित करना होगा। ऐसा करने के लिए, अपने रूट सर्वर पर एक नया उपयोगकर्ता बनाएं। पासवर्ड इनपुट करना न भूलें, अन्य पैरामीटर आवश्यक नहीं हैं।

adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit

इस SSH कुंजी को कॉपी करें और कुंजी को जोड़ने के लिए कंटेनर में प्रवेश करें।

pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit

अपने सर्वर पर, .ssh/authorized_keysफ़ाइल में निम्न पंक्ति जोड़ें ।

command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>

<YOUR SSH KEY>अपने घर की सार्वजनिक कुंजी को बदलना न भूलें । वैकल्पिक रूप से, आप कमांड लाइन से निम्नलिखित को चला सकते हैं।

echo 'command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys

फिर, आप ssh के साथ अपने सैंडबॉक्स से जुड़ सकते हैं।

`ssh box200@<your_server_IP>`

अतिरिक्त सेटिंग्स

यह कई सुरक्षा सुधारों को लागू करने का समय है। सबसे पहले, हम डिफ़ॉल्ट SSH पोर्ट को बदलना चाहते हैं। तब हम अपने HTTP प्रॉक्सी पेज को मूलभूत HTTP प्रमाणीकरण के साथ सुरक्षित करना चाहते हैं।

nano /etc/ssh/sshd_config

Uncomment और लाइन बदलें

#Port 22 

सेवा

Port 24000 

पुनः आरंभ करें ssh।

service ssh restart

नए पोर्ट के साथ ssh को फिर से कनेक्ट करें।

ssh root@<your_IP> -p 24000

एक Proxmox पासवर्ड सेट करें।

फ़ाइल बनाएँ /etc/default/pveproxy।

ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"

pveproxyपरिवर्तन प्रभावी होने के लिए पुनः प्रारंभ करें ।

/etc/init.d/pveproxy restart

Nginx कॉन्फ़िगर करें (यदि आपने इसे पहले नहीं किया है)।

apt-get install nginx
service nginx restart

में एक डिफ़ॉल्ट कॉन्फ़िगरेशन बनाएँ /etc/nginx/site-available/default।

server {
        listen          80;
        server_name     example.com;
        rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}
server {
        listen                   443 ssl;
        server_name              example.com;
        #auth_basic              "Restricted";
        #auth_basic_user_file    htpasswd;
        #location / { proxy_pass https://127.0.0.1:8006; }
}

एक मान्य एसएसएल प्रमाणपत्र प्राप्त करें और अपने नगीन विन्यास को अपडेट करें। उदाहरण के लिए, यह सर्टिफिकेट और Letencrypt की मदद से किय��� जा सकता है। अधिक जानकारी के लिए, यहां क्लिक करें ।

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx

अब, आपका nginx config इस तरह दिखना चाहिए (या आप इसे मैन्युअल रूप से बाद में बदल सकते हैं)। एसएलएल, ऑर्टिकल और लोकेशन लाइनों को अनसुना करना न भूलें।

server {
    listen          80;
    server_name     example.com;
    rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}

server {
        listen                  443 ssl;
        server_name             example.com;
        ssl on;
        auth_basic              "Restricted";
        auth_basic_user_file    htpasswd;
        location / { proxy_pass https://127.0.0.1:8006; }        

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}

Htpasswd जनरेटर/etc/htpasswd का उपयोग करके एक फ़ाइल बनाएँ ।

nano /etc/nginx/htpasswd

Nginx को पुनरारंभ करें

service nginx restart

आप https://example.comमूलभूत प्रमाणीकरण के बाद अब प्रबंधन कंसोल देख सकते हैं ।

पोर्ट फॉरवार्डिंग

कंटेनर अब HTTP अनुरोधों और SSH द्वारा उपलब्ध हैं। अब, हम बाहरी सर्वर से कंटेनरों में पोर्ट अग्रेषण को कॉन्फ़िगर कर सकते हैं। उदाहरण के लिए, निम्नलिखित इनपुट example.com:8080करने के लिए मानचित्रण के लिए 10.100.0.200:3000।

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000

आप वर्तमान नियमों को देख सकते हैं।

`iptables -t nat -v -L PREROUTING -n --line-number`

आप निम्नलिखित के साथ संख्या के आधार पर एक नियम हटा सकते हैं।

`iptables -t nat -D PREROUTING <#>`.

अलग किए गए कंटेनर

अब हम एक कंटेनर को दूसरे से एक्सेस कर सकते हैं।

pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200

यदि आप कंटेनर को 250 से 200 तक पहुंच को प्रतिबंधित करना चाहते हैं, तो आपको प्रत्येक कंटेनर को एक व्यक्तिगत पुल से कनेक्ट करने और पुलों के बीच अग्रेषण को अक्षम करने की आवश्यकता है।

1. मौजूदा कंटेनरों को हटा दें।

   pct stop 200
   pct stop 250
   pct destroy 200
   pct destroy 250
   

2. की सामग्री बदलें /etc/network/interfaces।

   auto vmbr1
   iface vmbr1 inet static
       address  10.100.1.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   
   auto vmbr2
   iface vmbr2 inet static
       address  10.100.2.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   

3. reboot प्रणाली

4. अग्रसारण सक्षम करें

   `sysctl -w net.ipv4.ip_forward=1`
   

   इन परिवर्तनों को स्थायी बनाने के लिए, आप /etc/sysctl.confफ़ाइल को संपादित कर सकते हैं और निम्नलिखित पाठ पा सकते हैं।

   #net.ipv4.ip_forward=1
   

   इसे उतारें।

   net.ipv4.ip_forward=1
   

   आप sysctl -pपरिवर्तनों को तुरंत प्रभाव में लाने के लिए भी चल सकते हैं ।

5. कंटेनर बनाएँ।

   pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
   pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
   

6. pct start 200और साथ कंटेनर शुरू करो pct start 250।

7. iptablesनियमों की धज्जियां उड़ाएं ।

   iptables -F
   

8. NAT सक्षम करें।

   iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
   

   vmbr0 वह पुल है जिसमें बाहरी इंटरफ़ेस शामिल है।

9. बाहरी इंटरफ़ेस से अग्रेषण की अनुमति दें।

   iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
   

10. कंटेनरों से इंटरनेट को अग्रेषित करने की अनुमति दें।

    iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
    iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
    

11. दूसरे को अग्रेषित करना छोड़ें।

    iptables -A FORWARD -i vmbr1 -j DROP
    iptables -A FORWARD -i vmbr2 -j DROP
    

अब, जाँच करें कि 10.100.1.200पिंग कर सकते हैं 8.8.8.8लेकिन पिंग नहीं कर सकते हैं 10.100.2.250और 10.100.2.250पिंग 8.8.8.8कर सकते हैं लेकिन पिंग नहीं कर सकते 10.100.1.200।

Iptables से संबंधित आदेशों का क्रम महत्वपूर्ण है। अपने नियमों को संचालित करने का सबसे अच्छा तरीका उपयोग करना है iptables-persistent। इस पैकेज आप फ़ाइलों को iptables नियम को बचाने के लिए मदद करता है /etc/iptables/rules.v4और /etc/iptables/rules.v6और यह अपने आप उन्हें सिस्टम रिबूट के बाद लोड कर सकते हैं। बस इसे निम्नलिखित के साथ स्थापित करें।

apt-get install iptables-persistent

YESसंकेत मिलने पर चयन करें ।