KZoli, 2023. október 21., 14:03-n

2023-10-21T14:03:15Z

← Régebbi változat		A lap 2023. október 21., 14:03-kori változata
1. sor:		1. sor:
	Ebben a leírásban [[Ubuntu szerver alaptelepítés (20.04 LTS)\|alaptelepített]] és [[Ubuntu szerver általános biztonsági beállításai (20.04 LTS)\|biztosított]] szervergépen [https://www.docker.com/ Docker] host környezetet alakítunk ki, amely több, egymástól független standalone (nem [https://en.wikipedia.org/wiki/Orchestration_(computing) orkesztrált]) Docker szolgáltatás (a továbbiakban ''service'') futtatását és (manuális) menedzselését biztosítja.		Ebben a leírásban [[Ubuntu szerver alaptelepítés (22.04 LTS)\|alaptelepített]] és [[Ubuntu szerver általános biztonsági beállításai (22.04 LTS)\|biztosított]] szervergépen [https://www.docker.com/ Docker] host környezetet alakítunk ki, amely több, egymástól független standalone (nem [https://en.wikipedia.org/wiki/Orchestration_(computing) orkesztrált]) Docker szolgáltatás (a továbbiakban ''service'') futtatását és (manuális) menedzselését biztosítja.

	''Megjegyzés:'' a standalone megközelítés a cloud világában elavultnak tűnik, azonban - nézetem szerint - kisvállalati környezetben lehet létjogosultsága.		''Megjegyzés:'' a standalone megközelítés a cloud világában elavultnak tűnik, azonban - nézetem szerint - kisvállalati környezetben lehet létjogosultsága.

KZoli: Új oldal, tartalma: „Ebben a leírásban alaptelepített és [[Ubuntu szerver általános biztonsági beállításai (20.04 LTS)|biztosított]…”

2023-04-12T10:20:05Z

Új oldal, tartalma: „Ebben a leírásban alaptelepített és [[Ubuntu szerver általános biztonsági beállításai (20.04 LTS)|biztosított]…”

Új lap

Ebben a leírásban [[Ubuntu szerver alaptelepítés (20.04 LTS)|alaptelepített]] és [[Ubuntu szerver általános biztonsági beállításai (20.04 LTS)|biztosított]] szervergépen [https://www.docker.com/ Docker] host környezetet alakítunk ki, amely több, egymástól független standalone (nem [https://en.wikipedia.org/wiki/Orchestration_(computing) orkesztrált]) Docker szolgáltatás (a továbbiakban ''service'') futtatását és (manuális) menedzselését biztosítja.

''Megjegyzés:'' a standalone megközelítés a cloud világában elavultnak tűnik, azonban - nézetem szerint - kisvállalati környezetben lehet létjogosultsága.

==Docker (standalone hosting, farm) házirend==
Ebben a leírásban egy standalone szervergépen (nem ''swarm''-ban) futtatunk egymástól független dockerezett szolgáltatásokat.
* A szolgáltatásokat egy közös, nem ''sudo''-képes, dedikált Linux felhasználó (''dockeradmin'') nevében futtatjuk.
* A szolgáltatásokat kiszolgáló közös scriptek a ''dockeradmin'' HOME/bin könyvtárában találhatóak.
* A szolgáltatásokhoz kapcsolódó valamennyi egyedi állomány (specifikus kód, karbantartó script, konfiguráció, adat, helyi mentés, log, stb.) egyetlen könyvtárszerkezetben, a ''dockeradmin'' $HOME/services/<szolgáltatás neve> könyvtárban (szolgáltatáskönyvtár) található.
* A szolgáltatáskönyvtárak azonos skeletonból jönnek létre.
* Minden szolgáltatást egy-egy, a szolgáltatáskönyvárban megtalálható ''docker-compose.yml'' állomány definiál.
* A szolgáltatások számára a szervergép
** közös külső IP-t,
** hálózati forgalomirányítást,
** közös web reverse proxyt,
** SMTP smarthostot (technikai levelezést) és
** periodikus (napi) mentést (DB dump, fájlterület time machine (git) vagy tar.gz) biztosít.

'''TODO!'''

==Reverse web proxy telepítése==
Amennyiben a telepítés alatti szervergépen még nincs telepítve webszerver, és a leendő szolgáltatások publikus web interface-szel fognak rendelkezni (ez utóbbi csaknem bizonyos), ''opcionálisan'' (de erősen javasoltan) érdemes egy professzionális webszervert reverse proxyként telepíteni a https tanúsítványok egyszerűbb kezelése és a könnyebb biztosíthatóság miatt. A jelen leírásban használandó skeleton az [https://httpd.apache.org/ Apache 2] illetve az [https://httpd.apache.org/ nginx] webszerverekkel képes jól együttműködni.
===nginx telepítése reverse web proxyként===
Az nginx a szokásos módon telepíthető:
<pre>sudo apt install nginx --no-install-recommends</pre>
Sajnos a telepítés egy [https://bugs.launchpad.net/ubuntu/+source/nginx/+bug/1743592 hiba] miatt elakad, ha az IPv6 le van tiltva. Áthidaló megoldásként, miután a telepítő elakadt, szerkesszük meg az ekkor már telepített ''/etc/nginx/sites-available/default'' állományt:
<pre>sudo mcedit /etc/nginx/sites-available/default</pre>
és az elején kommentezzük ki az IPv6-os ''listen'' sort:
<pre>[...]
server {
listen 80 default_server;
# listen [::]:80 default_server;
[...]</pre>
Ezután a telepítő parancsot ismét kiadva:
<pre>sudo apt install nginx --no-install-recommends # no, még egyszer!</pre>
a telepítés már hibátlanul végigmegy. A webszerver futását a
<pre>sudo systemctl status nginx</pre>
paranccsal verifikálhatjuk.

A publikus webszolgáltatáshoz szükséges még a bejövő webforgalom beengedése a csomagszűrő tűzfalon:
<pre>sudo ufw allow "Nginx Full"</pre>

'''Gyorstesztként''' web böngészőprogramban kérjük el a http://IP.IP.IP.IP/ weboldalt (ahol IP.IP.IP.IP a telepítés alatt álló szervergép publikus IP címe, vagy egy erre mutató DNS hostnév) - az nginx alapértelmezett weboldalát kell látnunk.

==Egyéb csomagtelepítések==
A Docker skeletonnak szüksége van az alábbi, eddig még nem telepített segédeszközökre:
<pre>sudo apt install git metastore socat # a git általában már telepített, a teljesség kedvéért szerepel itt</pre>
Fentiek további beállítást nem igényelnek.
==A Docker telepítése==
A Docker (''community edition'') telepíthető az Ubuntu repositoryból (''docker.io, Debian way''), vagy a ''docker.com'' repositoryból (''docker-ce, Golang way''). A fő különbség, hogy a ''docker.ce'' statikusan linkelt (az összes függőségével egybecsomagolva érkezik), míg a ''docker.io'' esetében a függőségeket a Debian/Ubuntu kezeli (ami jelentős erőfeszítést igényel a ''maintainer''-től). A ''Debian-way'' mellett szólhat a kiterjedtebb security- és tesztelési mechanizmus; ellene szólhat a kétely, hogy képes lesz-e lépést tartani a Docker kiadásaival az LTS támogatás teljes időtartamában.

Mivel mindkét kiadás egyazon operációs rendszer alá nem telepíthető, választanunk kell közülük. Jelen leírásban a ''Debian way''-t preferálom.
=== docker.io ===
A szokásos módon telepíthető:
<pre>sudo apt install docker.io docker-compose # Sok függőség, elsősorban Python</pre>
Ellenőrizzük, hogy elindult-e a szolgáltatás:
<pre>sudo systemctl status docker</pre>
Ha nem indulna el, engedélyezni kell, majd manuálisan indítható:
<pre>sudo systemctl enable --now docker
sudo systemctl status docker # újabb ellenőrzés
sudo systemctl start docker # ha nem futna</pre>
Fentiek után az engine elindul, és a szervergép újraindításakor is automatikusan futni kezd.

===docker-ce===
'''TODO!'''

==Docker alapbeállítások==
===Tűzfalbeállítások (UFW) módosítása a Docker használatához===
Két lényeges problémát kell kezelnünk:
* Alapértelmezésben az UFW blokkolja a szolgáltatások (Docker image-ek) kommunikációját a host gépen futó szolgáltatásokkal (pl. levélküldés a host MTA-n keresztül). Engedélyezzük a szolgáltatások alhálózatairól és a host gép közötti forgalmat korlátozások nélkül (átgondolni: '''TODO!'''):
<pre>sudo ufw allow in from 172.17.0.0/16 to any comment 'From services to host'
sudo ufw allow out from any to 172.17.0.0/16 comment 'From host to services'</pre>

* Alapértelmezésben a Docker által exportált portok kívülről láthatóak lesznek annak ellenére, hogy az UFW-ban nem engedélyeztük ezeket az ''in'' szabályokban. Ennek megoldására az [https://github.com/chaifeng/ufw-docker innen] származó (3rd party) ''ufw-docker'' scriptet alkalmazzuk, amely a routing átkonfigurálásával tiltja a fenti forgalmat.

[https://github.com/chaifeng/ufw-docker/archive/refs/heads/master.zip Töltsük le] a projekt legfrissebb verzióját, és a ''.zip''-ből az ''ufw-docker'' állományt másoljuk a ''/usr/local/sbin'' könyvtárba, majd adjuk a ''root'' tulajdonába, és adjunk rá végrehajtási jogot:
<pre>sudo chown root:root /usr/local/sbin/ufw-docker
sudo chmod 750 /usr/local/sbin/ufw-docker</pre>
Ezután telepíttessük a scripttel a routing szabályokat, majd aktiváljuk azokat az UFW újraindításával:
<pre>sudo ufw-docker install
sudo systemctl restart ufw</pre>
A script csak a ''/etc/ufw/rules.after'' állományt módosítja (előtte az eredeti állapotot elmenti). Telepítés után a scriptet csak akkor kell használnunk, ha a blokkolt forgalmak valamelyikét engedélyezni szeretnénk (bővebben ld. a ''README.md'' leírást a fenti weboldalon, vagy a letöltött ''.zip''-ben).

Gyorsteszt: '''TODO!'''

===Levélküldés engedélyezése a dockerezett szolgáltatások számára===
Hasznos lehet, ha a szolgáltatások is igénybe vehetik a korábban beállított technikai levélküldést. Ehhez engedélyezzük a ''mail relay''-t a Postfixben a Docker network-ök felől is:
<pre>sudo mcedit /etc/postfix/main.cf</pre>
<pre>
[...]
mynetworks = 127.0.0.0/8 172.16.0.0/12 [...]
[...]
</pre>
A változtatást a Postfix újraindításával érvényesítsük:
<pre>sudo systemctl restart postfix</pre>

==A dockeradmin felhasználó és tárhely elkészítése==
Ebben a leírásban a Docker szolgáltatások tárhelyeit a szolgáltatásokat menedzselő, közös Linux felhasználó HOME-jában (''/srv/docker'') alakítjuk ki. Ennek a tárhelynek megfelelő méretű, futtathatóan és írható-olvashatóan csatolt partíción kell lennie.

A ''dockeradmin'' lényegét tekintve rendszer felhasználó, a gyakorlatban azonban rendszergazdák (emberek) fogják nevében belépve a szolgáltatások karbantartási műveleteit elvégezni. A belépéshez mindenkitől külön-külön (magán) SSH kulcsot fogunk kérni.

* Hozzuk létre a felhasználót az alábbi (''sudo''-képes felhasználóként - sysadminként - kiadott) parancsokkal:
<pre>sudo adduser --gecos "Docker Administrator" --home /srv/docker dockeradmin # kér egy jelszót a felhasználó számára</pre>
A jelszó lehetőleg ne triviális, preferáltan generált legyen (pl. [https://passwordsgenerator.net/ innen]). A jelszót csak a ''sudo''-hoz fogjuk használni (mivel a jelszóval belépést SSH-n letiltottuk, használatával csak a virtuális konzolon lehet belépni).

* Adjuk hozzá a ''dockeradmin''-t a Docker kezelésére sudo nélkül is jogosultak csoportjához. A házirendtől eltérően jelenleg a Docker adminisztrátor számára is szükséges a ''sudo'', a host és a szolgáltatások fájlrendszeri jogosultságainak egyeztetése miatt ('''TODO!'''):
<pre>sudo usermod -aG docker,sudo dockeradmin # beállítás
sudo groups dockeradmin # ellenőrzés</pre>

* Tegyük priváttá a felhasználó HOME könyvtárát:
<pre>export user='dockeradmin' home='/srv/docker'
sudo chmod -R o-rwx $home
sudo chmod g+rwx $home # feleljen meg az UMASK-nak
sudo chmod o+x $home # szüksége lehet rá a Dockeren belül futó szolgáltatásoknak
sudo ls -lad $home # drwxrwx--x dockeradmin dockeradmin /srv/docker</pre>

* Módosítsuk a felhasználó profilbeállításait:
<pre>sudo mcedit $home/.profile</pre>
Szúrjuk be a file végére:
<pre>
# Custom editor.
export EDITOR="/usr/bin/mcedit"

# More parseable ls -la format.
export TIME_STYLE="long-iso"
</pre>
''Megjegyzés:'' a szövegszerkesztő választása természetesen opcionális - bár az alaptelepített nano teljesen használható, részemről az mcedit-et preferálom.
* Készítsük elő a ''dockeradmin'' számára a nyilvános kulcsú távoli bejelentkezéshez szükséges állományokat:
<pre>sudo mkdir $home/.ssh; sudo chown $user:$user $home/.ssh
sudo touch $home/.ssh/authorized_keys; sudo chown $user:$user $home/.ssh/authorized_keys</pre>
Amennyiben vannak publikus kulcsaink a ''dockeradmin'' felhasználóként történő bejelentkezéshez, töltsük fel és másoljuk be azokat az ''authorized_keys'' állományba (ha nincs kulcsunk, csak a virtuális konzolon tudunk ''dockeradmin''-ként bejelentkezni!). Ezután zárjuk le ezt az állományt:
<pre>sudo chmod 400 $home/.ssh/authorized_keys
sudo chattr +i $home/.ssh/authorized_keys
sudo chmod 500 $home/.ssh/</pre>
A fenti beállításokkal már csak a ''root'' tud a ''dockeradmin'' felhasználó nevében történő bejelentkezéshez szükséges kulcsokat felvenni (az ''immutable'' bit levétele után).

* Mivel a ''dockeradmin'' alapvetően nem szokványos felhasználó, nem hagyjuk, hogy a shelljére vonatkozó beállításokat megváltoztassa:
<pre>sudo chmod 440 $home/.bashrc; sudo chattr +i $home/.bashrc
sudo chmod 440 $home/.bash_logout; sudo chattr +i $home/.bash_logout
sudo chmod 440 $home/.profile; sudo chattr +i $home/.profile</pre>
Ezzel a felhasználót és a tárhelyet előkészítettük.

==A Docker skeleton telepítése==
A skeleton telepítéséhez (és minden további, a Docker szolgáltatásokkal kapcsolatos művelet elvégzéséhez) jelentkezzünk be ''dockeradmin'' felhasználóként!
===Docker gyorsteszt===
Első lépésként futtassuk le a ''hello-world'' példa image-et:
<pre>docker run hello-world</pre>
Siker esetén a Docker alapfunkciói használhatóak, a teszt containert törölhetjük:
<pre>docker system prune</pre>
===Szükséges mappák és beállítások===
Hozzuk létre a ''bin'', ''services'' és ''tmp'' mappákat:
<pre>mkdir $HOME/bin $HOME/tmp
mkdir $HOME/services; chmod o+x $HOME/services; setfacl -d -m u:$USER:rwX,g::rwX $HOME/services</pre>
Az ACL-lel azt szeretnénk biztosítani, hogy a szolgáltatásmappák hierarchiájára a ''dockeradmin'' (user és group) mindig rendelkezzen írásjoggal, továbbá hogy ez a hierarchia a szolgáltatások belső felhasználói számára is bejárható legyen (átgondolni: '''TODO!''').

Fentieken kívül:
* A Midnight Commanderben hasznos beállítani (''mc'', F9, Beállítások, Alapbeállítások) a saját szövegszerkesztő használatát (F9, Beállítások, Saját szövegszerkesztő, OK).
* Az ''mcedit''-ben (F9, Beállítások, Általános) az új sorban automatikus behúzást (ha be lenne kapcsolva) és a látható tabulátorokat(!) kikapcsolni, végül az ''mc'' beállításokat elmenteni (F9, Beállítások, Beállítások mentése).

===A technikai levelezés beállítása===
Amennyiben a szervergép biztosít technikai levelezést, állítsuk be a ''dockeradmin'' felhasználónak küldött levelek továbbítását a Docker adminisztrátorok tényleges email címeire. Ehhez:
* Küldjünk egy teszt levelet (''dockeradmin''-ként bejelentkezve):
<pre>echo 'Teszt' | mail -s 'Teszt' valid@email.address</pre>
* Siker esetén állítsuk be a levéltovábbítást a ''$HOME/.forward'' állományban:
<pre>mcedit $HOME/.forward</pre>
<pre>
dockeradmin1@email.cime
dockeradmin2@email.cime
[...]</pre>
* Ellenőrizzük a levéltovábbítást:
<pre>echo Teszt | mail -s Teszt dockeradmin</pre>
Siker esetén ezután meg fogjuk kapni a Docker környezetek által küldött technikai leveleket is.

''Opcionálisan'', amennyiben a ''dockeradmin'' nem ''sudo-képes'' ('''TODO!'''), lezár(at)hatjuk a ''.forward'' állományt, megakadályozva ezzel, hogy a címlistát valamelyik Docker adminisztrátor (vagy egy ''dockeradmin''-ként futó ''malware'') törölje vagy módosítsa. Ehhez ''sudo''-képes felhasználóként (pl. ''sysadminként'') bejelentkezve adjuk ki az alábbi parancsokat:
<pre>export home='/srv/docker'
sudo chmod 400 $home/.forward
sudo chattr +i $home/.forward</pre>
Ezután a címlista már csak ''root''-ként módosítható (az ''immutable'' bit levétele után).

===A skeleton telepítése===
Az egyes szolgáltatásokat egy közös skeletonból fogjuk kialakítani, amely tartalmaz csak egyszer telepítendő, ''server-wide'' elemeket is - ezek némelyikéhez szükséges a ''sudo'' jog!

* [https://example.com Töltsük le] ('''TODO!''') a skeleton legfrissebb (tömörített, ''.tgz'') változatát, célszerűen a ''$HOME/tmp'' könyvtárba;
* Alkalmazzuk a skeletonbeli ''.templates'' beállításait:
** A skeleton ''.templates/bin'' könyvtárának tartalmát másoljuk a ''$HOME/bin'' könyvtárba;
** Amennyiben a szervergép nem biztosít technikai levelezést, adjunk futtatási jogot a ''$HOME/bin/mail'' (dummy) állományra (biztosítva ezzel, hogy a ''mail'' parancsot függőségként tartalmazó scriptek ennek ellenére lefussanak):<pre>chmod ug+x $HOME/bin/mail</pre>
** Amennyiben a szervergépen ''nginx'' webszerver fut:
*** A skeleton ''.templates/nginx/.nginx'' könyvtárát másoljuk be a ''$HOME/services'' könyvtárba (a ''.gitignore'' törölhető);
*** A skeleton ''.templates/nginx/conf.d'' könyvtárának tartalmát másoljuk be a ''/etc/nginx/conf.d'' könyvtárba és adjuk a ''root'' tulajdonába 640-es jogosultságokkal (ehhez ''sudo'' szükséges!);
*** Amennyiben a webszervert más szolgáltatás nem használja, töröljük a ''/etc/nginx/sites-enabled/default'' symlinket (ehhez ''sudo'' szükséges!) - ezzel átvesszük az alapértelmezett weboldal szolgáltatását is;
** A skeleton ''.templates/sudoers.d'' tartalmát másoljuk be a ''/etc/sudoers.d'' könyvtárba és adjuk a ''root'' tulajdonába 440-es jogosultságokkal (ehhez ''sudo'' szükséges!);
* Olvastassuk újra a webszerver konfigurációját (a ''sudoers.d'' beállítás miatt ehhez nem kell ''sudo''):
** ''nginx'' esetén <pre>systemctl reolad nginx</pre>
** ''Apache 2'' esetén <pre>systemctl reload apache2</pre>
* Állítsuk be az időzített karbantartások lefuttatását:<pre>crontab -e</pre>Másoljuk a fájl végére a skeletonbeli ''.templates/crontab'' tartalmát és mentsük el az új ''contab'' állományt.
Ezzel a skeleton ''server-wide'' elemeit telepítettük, készen állunk az első szolgáltatás létrehozatalára.

==Karbantartások==
'''TODO!'''
==Irodalom==
* [https://linuxconfig.org/how-to-install-docker-on-ubuntu-20-04-lts-focal-fossa How to Install Docker On Ubuntu 20.04 LTS Focal Fossa] (Linuxconfig.org)
* [https://docs.docker.com/engine/install/ubuntu/ Install Docker Engine on Ubuntu] (Docker Docs)
* [https://stackoverflow.com/questions/45023363/what-is-docker-io-in-relation-to-docker-ce-and-docker-ee What is docker.io in relation to docker-ce and docker-ee?] (StackOverflow)
* [https://www.collabora.com/news-and-blog/blog/2018/07/04/docker-io-debian-package-back-to-life/ The docker.io Debian package is back to life] (Collabora)
* [https://docs.docker.com/engine/install/linux-postinstall/ Post-installation steps for Linux] (Docker Docs)
* [https://github.com/chaifeng/ufw-docker To Fix The Docker and UFW Security Flaw Without Disabling Iptables] (GitHub)

Docker host telepítése (22.04 LTS) - Laptörténet

KZoli, 2023. október 21., 14:03-n

KZoli: Új oldal, tartalma: „Ebben a leírásban alaptelepített és [[Ubuntu szerver általános biztonsági beállításai (20.04 LTS)|biztosított]…”