Percona监控和管理的SSL证书生命周期雷竞技下载官网raybet雷竞技竞猜在线官网我们高度重视Percona的安全性,在这篇博客文章中,我们将展示如雷竞技下载官网何保护您的雷竞技下载官网Praybet雷竞技竞猜在线官网ercona监控和管理(PMM)具有SSL证书的服务器,并通过利用代理服务器自动化其生命周期。

介绍

您可能知道,PMM服务器提供了一个自签名的SSL证书,用于加密客户端(web或CLI)和服务器之间的通信。虽然有些人选择在非关键环境中使用此证书(通常由私有网络保护),但对于生产环境来说,这绝对不是最佳的安全实践。

我必须提到,自签名证书仍然可以实现加密连接的目标。当涉及到自签名证书时,您应该了解以下一些事情或问题:

  • 它们不能由受信任的对象验证证书颁发机构(CA)
  • 它们不能由于安全事件而被撤销(如果由受信任的CA发出,则可以被撤销)
  • 当在公共网站上使用时,它们可能会对你的品牌或个人声誉产生负面影响

这就是为什么大多数现代浏览器在检测到自签名证书时会显示非常不吸引人的安全警告。它们中的大多数将防止用户不小心打开没有安全连接的网站(你听说过吗thisisunsafe针对Chrome的黑客攻击?)浏览器供应商显然是在试图提高广大互联网社区的安全意识。

我们强烈建议用户使用受信任的证书颁发机构颁发的SSL证书。

有些人发现跟踪有效期并记得在证书到期前更新是一件难以应付的事情。直到几年前,SSL证书还需要付费,而且相当昂贵。等项目让我们加密-一个非营利性的证书颁发机构,旨在通过提供绝对免费的SSL证书来普及网络安全。然而,他们的有效期只有三个月,这是相当短的。

我们将探讨两种最流行的反向代理工具,它们允许您利用SSL证书来提高PMM实例的安全性。更重要的是,我们将介绍如何使用这些工具自动化证书更新。虽然PMM Server有三种版本——docker、AMI和OVF——但我们将把重点放在docker上,它是我们最受欢迎的发行版。

本文中的所有脚本都假设您有基本的熟悉和使用经验码头工人码头工人组成

反向代理

虽然现在开源工具的选择相当丰富,但我们将讨论其中两个我认为最受欢迎的:nginxtraefik

为了尝试这里提出的解决方案之一,你需要以下几点:

让我们看一下我们的网络图。它显示代理服务器位于PMM服务器及其客户机之间。这意味着代理(而不是PMM服务器)负责终止SSL和加密通信。

PMM服务器和客户端网络图

Nginx

Nginx于2004年进入市场,这对任何软件产品来说都是一个相当稳定的时代。从那时起,它已经获得了巨大的采用,到目前为止,它为许多网站提供了反向代理。让我们看看使用Nginx进行SSL证书管理需要什么。

首先,让我提醒您PMM服务器存储自签名证书的位置:

我们当然可以通过挂载包含自定义证书的主机目录来传递自己的证书,或者通过复制证书到容器。但是,这需要我们先出具证书。我们想要实现的是获得自动颁发的证书。我必须说,即使nginx没有提供开箱即用的功能,有一些开源项目可以有效地缩小这一差距。

其中一个项目是nginx代理。它看起来相当成熟和稳定,拥有16K GitHub星。它有一个同行项目-acme-companion-它负责证书的生命周期。我们将同时使用它们,所以最终我们将运行三个独立的容器:

  1. Nginx-proxy反向代理
  2. 证书管理组件
  3. Pmm-server—代理容器

在启动容器之前,需要完成以下步骤:

  1. 为项目选择一个根目录。
  2. 创建目录/ nginx。在你的项目根目录中(docker会负责创建嵌套目录)。这将是您的项目根文件夹。
  3. 创建文件/ nginx / proxy.conf。的默认值主要需要此文件client_max_body_size,这个值刚好太低,所以PMM可以正确处理大的有效载荷。文件内容如下:

在启动容器之前,需要完成以下步骤:

  1. 为项目选择一个根目录。
  2. 创建目录/ nginx。在你的项目根目录中(docker会负责创建嵌套目录)。这将是您的项目根文件夹。
  3. 创建文件/ nginx / proxy.conf。的默认值主要需要此文件client_max_body_size,这个值刚好太低,所以PMM可以正确处理大的有效载荷。文件内容如下:

注意,最新版本的docker客户端附带码头工人组成子命令,而早期版本可能需要你额外安装一个基于python的docker-compose工具。

这就是docker-compose.yml的样子。您可以继续创建它,同时确保进行替换my-domain.org用你自己的公共域名。

现在通过运行启动您的站点Docker compose up -d。就是这样!如果一切正常,您应该通过访问PMM服务器的登录页面https://pmm.my-domain.org。如果你输入Docker ps a在码头,你会看到所有三个集装箱列出:

如果出现任何问题,您可以通过检查容器日志来排除故障。Docker日志pmm-serverorgydF4y2BaDocker日志极致伴侣也许对探索有用。

限制对PMM的访问

有时需要限制对已知ip或网络的访问。高兴地,nginx代理你可以很容易地进行配置。你所需要做的就是:

  • 用域名创建一个文本文件,例如,pmm.my-domain.org-并保存到/ nginx / vhost.d /
  • 最后,使用docker restart重新启动容器pmm-server

从现在开始,如果有人试图从不在中的IP地址访问PMM服务器允许列表,他们应该得到错误HTTP 403禁止

测试连接安全性

虽然使用SSL证书保护您的连接是一个好主意,但还有许多其他安全问题是证书本身无法解决的。有一些有用的web服务不仅允许您验证证书,还允许您执行许多其他重要检查来测试连接,例如足够的密码强度、使用过时的安全协议、对已知SSL攻击的脆弱性等。

Qualys是否有这样的服务,检查证书所需要的一切都是去他们的网页,输入你网站的域名,让他们做剩下的工作。几分钟后,你会看到这样的扫描报告:

瞧!我们在没有花费太多时间的情况下就实现了非常高的连接安全性评级!这就是这个工具的魔力?

在使用Nginx代理之前,我永远无法从第一次尝试中获得相同的结果,我能得到的最好分数是“B”。我花了很多时间来了解扫描报告的每个警告的含义,并且花了更多的时间来找到一个合适的解决方案并将其应用到我的配置中。

总结一下——如果你不断更新你的Nginx版本及其配套版本,它将为你节省大量的时间,并使你的TLS符合最高的安全标准。是的,可以保证证书在到期前轮换。

Traefik

Traefik是一个较新的产品。它于2016年首次发布,自那时起获得了巨大的发展势头。

Traefik作为代理服务器和docker和Kubernetes的负载均衡器非常受欢迎。许多人声称Traefik比Nginx更强大、更灵活,但也更难设置。与Nginx不同,Traefik不需要额外的工具就可以管理证书的生命周期,这就是为什么我们只启动两个容器——一个用于PMM服务器,一个用于Traefik代理。

基本配置

要开始使用非常小的Traefik配置,请遵循以下步骤。

  • 为项目选择一个根目录
  • 创建一个基本的docker-compose.yml在根文件夹中存放以下内容:
  • 取代my-domain.org用你自己的域名
  • 确保服务器上的端口80和443是开放的,并且可以公开访问
  • 创建目录letsencrypt在你的项目的根目录中-它将被挂载到容器中,这样Traefik就可以保存证书了

一旦你用docker启动项目合成-d,你应该可以去https://pmm.my-domain.org和查看PMM服务器的登录页面。

如果你跑了Docker ps a,你会在输出中看到两个容器:

如果遇到任何问题,可以通过检查Traefik容器的日志进行故障排除Docker日志traefik。基于明显的性能原因,我们建议您通过设置log.level参数信息

高级配置

对基本配置的进一步分析证实,它存在一些问题,特别是:

  • 访问http://pmm.my-domain.org将导致HTTP 404未找到,即默认情况下没有配置重定向。
  • Qualys SSL报告使用“B,这对于刺激环境是不够的。报告强调了三个问题:
    • 服务器支持过时或不安全的TLS 1.0和1.1协议
      代理配置- b平报告
    • 服务器使用了不少弱密码
      代理配置-弱密码
    • 代理响应中缺少安全标头

我们将努力逐一解决上述所有问题。

  1. 重定向HTTPHTTPS
    Traefik使用一个叫做entryPoint的特殊HTTP选项。它可以通过将以下参数传递给Traefik轻松实现:

  2. 避免使用过时的TLS 1.0和1.1协议
  3. 避免使用弱密码

    由于这两个问题与TLS有关,为什么不将两者的解决方案合并为一个呢?Traefik提供了两种类型的配置——静态配置和动态配置。解决密码所需的选项数量可能会相当大,这就是为什么我们将选择使用动态配置,即将所有内容放在一个文件中,而不是内联在我们的docker-compose.yml文件。因此,让我们创建一个名为dynamic.yml并把它放在项目根目录下:

    正如您在这里看到的,我们仅将TLS版本限制为最安全的,密码套件和加密算法首选项也是如此。文件名可以是您喜欢的任何名称,因此我们需要将Traefik指向包含动态配置的文件。为此,我们将利用文件提供者参数:

  4. 向代理响应添加安全标头

    额外的安全头将进入静态配置:

Traefik应该到此为止了。我们已经成功地解决了所有安全问题,一份新的SSL报告证实了这一点。

代理配置- a +上级报告

为了方便大家,我将把最后的版本yml下面的文件。

docker-compose.yml

一些安全方面

码头工人套接字

我相信你注意到了下面的部分docker-compose.yml

你可能会说,将docker套接字传递给一个或多个容器并不是超级安全的,对吧?没错,但如果我们想要自动化,这是一个很难的要求。事实证明,代理服务器和它的伙伴都在幕后做了很多事情来实现它,所以它们需要访问docker运行时,以便能够侦听docker事件并对它们做出反应。

考虑这个例子:如果您添加一个新的服务(或网站在我们的情况下)以相同或不同docker-compose.yml然后用Docker compose up -d,代理将检测此事件并向证书颁发机构请求新证书,或者从存储中获取(如果已经颁发了)。只有这样,它才能将证书传递给您的服务。这种对docker运行时的低级控制使得Nginx或Traefik可以操作其他容器。没有这个插座,任务是不可能完成的。

通常,在开发应用程序或服务时,工程团队将把所有的服务——后端、前端和数据库——放在一起docker-compose.yml,这非常方便,因为它可以在团队中共享。但是,您肯定希望将prod与非prod环境隔离开来。例如,如果您的数据库服务器也部署在docker容器中,那么它应该在不同的环境中完成,更加坚固️?比这个。

80端口的使用

在一篇关于安全性的博客文章中提到端口80(未加密HTTP使用的标准端口)可能显得很奇怪。然而,Nginx和Traefik都依赖于它在服务器端是开放的。这是因为我们使用了所谓的HTTP挑战(阅读更多关于挑战类型的信息在这里),大多数代理都支持这个功能,也是最容易实现的。当CA准备处理颁发证书的请求时,它需要验证您的域所有权。它通过查询一个特殊对象来实现.well-known站点上的端点,只能在端口80上可用。然后,如果成功,它将继续颁发证书。

两个代理服务器都提供了非常方便的重定向选项HTTPHTTPS,这也有利于搜索引擎优化(SEO)。

结论

我发现很难不同意自动化SSL证书生命周期,特别是如果您拥有或维护不止几个公共站点(或PMM服务器)),这比手动操作要愉快得多。值得庆幸的是,开源代理的成熟度和功能的完整性是惊人的,它们被许多人使用和信任,这就是为什么我们建议您也尝试一下。

注:你可以在你的配置中做更多的事情,例如为静态资产添加压缩,加强你的安全性,发布一个通配符证书等等,但这对于一篇文章来说太多了,这可能是一个在下一篇文章中探索的好话题。

你试过其他代理吗?它们与Nginx或Traefik相比如何?我们很乐意听到您的经验,请通过我们的网站与我们分享社区论坛

订阅
通知的
客人

0评论
内联反馈
查看所有评论