設定 docker 版本的 sshd server

情境說明/緣由

• 為了保護 Linux host, 避免被攻陷
• 方便工程師上傳程式碼: 配合 scp, rsync over ssh 等
• 過程能加密

準備

• 基礎安裝 Linux, 各種版本皆可, 這裡以 Debian 11 為例
• 安裝 docker, 參考 Install Docker Engine on Debian
• 安裝 docker-compose, 參考 How To Install Docker Compose on Debian 10, 不需要參考 docker.com 官網上的文件

• 調整 docker 設定檔, 參考我寫的這篇

設定步驟

1. docker-compose.yaml

echo 'version: '3.7'

services:
    xxxx.com-sshd:
        image: linuxserver/openssh-server
        container_name: xxxx.com-sshd
        hostname: xxxx.com-sshd
        environment:
            - PUID=8888
            - PGID=8888
            - TZ=Asia/Taipei
            - SUDO_ACCESS=false
            - PASSWORD_ACCESS=true
            - USER_NAME=web
            - USER_PASSWORD_FILE=/run/secrets/mysecretpassword
        volumes:
            - /srv/prod/xxxx.com/config:/config
            - /srv/prod/xxxx.com/web:/config/web
            - /srv/prod/xxxx.com/mysecretpassword:/run/secrets/mysecretpassword
        ports:
            - 2222:2222
        restart: unless-stopped' > docker-compose.yaml

簡單說明

• docker-compose service name, container name, hostname name 等都設定成一樣, 方便管理, 此處為: xxxx.com-sshd
• 把需要的目錄透過 volumes 掛到 container 裡
• linuxserver/openssh-server 內定 sshd port 為 2222
• container user name 設定為 web, 其中 uid, gid 設定為 8888, 對應到 host uid, gid 分別為 108888, 108888
• /srv/prod/xxxx.com/mysecretpassword 裡面放 web 的 ssh 登入密碼, 啟動 container 時, 就會自動加到 container:/etc/shadow 裡

2. 啟動

docker-compose up -d

測試

從其他機器登入

ssh -oport=2222 web@[host ip]