dockerホストからコンテナに直接sshしたい場合、コネクションが一瞬で切れることがありました。

これは笑える。
強制遮断みたいな…w
もちろん他のサーバからdockerホストIP -p 200xxxとやっても遮断されます。
sshd.confが怪しいと思いきや…..


■原因は!?

PAM

だった。。
そもそもLinuxはユーザー認証のためにPAM(Pluggable Authentication Modules)
というモジュールが用意されていて、
プログラムに認証モジュールをプラグインする形で制御を行ってます。
以下のように。。

dockerコンテナの場合は上記のsshdにあるものを
追記すればコネクションは切れることはなくなりました。
(ちなみにコンテナのOSはCentOS6です)


■対応方法

・session optional pam_selinux.soの追記

・sshd再起動


■確認

できたわ!
他のサーバからもport指定してログインできました。


■まとめ

dockerちゃんセキュアだね〜%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-11-02-%e5%8d%88%e5%be%8c9-15-10

参考:http://www.itmedia.co.jp/help/tips/linux/l0230.html
http://qiita.com/noya/items/5723ae55370478d60266

The following two tabs change content below.

あだちん

1989年生まれ。 ランサーズ/SRE。 ホスティングから大規模なアドテクなどのインフラエンジニアとして携わり、ランサーズにてサーバ系のお仕事も副業で行い、他社インフラレスポンス改善、ansibleでのインフラコード化を推進し、未経験によるエンジニア勉強会なども実施している。 そして「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/広報/VulsRepo init file,chatwork通知のコントリビュータでもある。 現在はDocker開発環境の提供,AWSで新サービスのインフラ構築,PHPバージョンアップ,分析基盤を担当しておりDigdag,embulk,BigQueryを使いこなそうと奮闘中。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください