LINEで送る
Pocket

dockerホストからコンテナに直接sshしたい場合、コネクションが一瞬で切れることがありました。

これは笑える。
強制遮断みたいな…w
もちろん他のサーバからdockerホストIP -p 200xxxとやっても遮断されます。
sshd.confが怪しいと思いきや…..


■原因は!?

PAM

だった。。
そもそもLinuxはユーザー認証のためにPAM(Pluggable Authentication Modules)
というモジュールが用意されていて、
プログラムに認証モジュールをプラグインする形で制御を行ってます。
以下のように。。

dockerコンテナの場合は上記のsshdにあるものを
追記すればコネクションは切れることはなくなりました。
(ちなみにコンテナのOSはCentOS6です)


■対応方法

・session optional pam_selinux.soの追記

・sshd再起動


■確認

できたわ!
他のサーバからもport指定してログインできました。


■まとめ

dockerちゃんセキュアだね〜%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-11-02-%e5%8d%88%e5%be%8c9-15-10

参考:http://www.itmedia.co.jp/help/tips/linux/l0230.html
http://qiita.com/noya/items/5723ae55370478d60266

LINEで送る
Pocket

カテゴリー: Docker

adachin

1989年生まれのLancers SRE。 ホスティングから大規模なアドテクなどのインフラエンジニアとして携わり、AnsibleやTerraformでのインフラコード化を推進。副業では数社サーバー保守、未経験によるエンジニアのメンターなども実施している。また、「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。現在はサービスの信頼性向上、可用性、レイテンシ、パフォーマンス、モニタリング、緊急対応、インフラコード化、リファクタリング、セキュリティ強化、新技術の検証、Docker開発環境の提供、AWSでのインフラ構築、グループ会社のインフラをECS/Fargateへ移行、CakePHP4での管理画面作成、メンター、分析基盤の運用を担当している。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください