質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.51%

【Docker】proxyサーバを非rootで立ち上げたい

解決済

回答 1

投稿

  • 評価
  • クリップ 1
  • VIEW 799

pipo

score 15

Dockerを用いてproxyサーバを立ち上げようとしています。
rootのまま作業するのは良くないと書き込みを見て、ユーザを作成してそれで運営していこうと考えたのですが、非rootでの構築の仕方が分からず困っています。

80番ポートは一般ユーザでは使えないとのことも知って、対応してみたつもりですがうまくいきませんでした。
アドバイスよろしくお願いします。

▼エラー内容

2018/12/09 23:38:30 [emerg] 1#1: bind() to 0.0.0.0:80 failed (13: Permission denied)
nginx: [emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)


8081ポートを使うようとして、以下のような感じで構成しています。

nginxの設定ファイルは2つ用意していて、
./proxy/nginx.conf
./proxy/conf.d/default.conf
を使用しています。

このうち、listenは
./proxy/conf.d/default.confで指定しています。

▼docker-compose

version: "3"

services:
  proxy:
    build: ./proxy
    container_name: my_proxy
    volumes:
      - ./proxy/conf.d:/etc/nginx/conf.d
      - ./proxy/nginx.conf:/etc/nginx/nginx.conf
      - ./proxy/html:/usr/share/nginx/html
    links:
      - nginx:nginx
    ports:
      - 80:8081
    environment:
      TZ: "Asia/Tokyo"

▼nginx.conf

# user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

events {
    worker_connections  1024;
}

http {

    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;

    proxy_cache_path      /var/cache/nginx/proxy_cache levels=1:2 keys_zone=proxy:10m max_size=1g inactive=1d;
    proxy_temp_path       /var/cache/nginx/temp 1 2;

    upstream myapp {
        server nginx:8080;
    }
}

▼default.conf

server {
    listen       8081;
    charset utf-8;
    server_name  localhost;

    location / {

        proxy_pass http://myapp;
        proxy_redirect default;
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

▼Dockerfile

FROM nginx

# ディレクトリオーナーをwww-dataに変更
RUN touch /var/run/nginx.pid && \
  chown -R www-data:www-data /var/run/nginx.pid && \
  chown -R www-data:www-data /var/cache/nginx

USER www-data

CMD ["nginx", "-g", "daemon off;","-c","/etc/nginx/nginx.conf"]

よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • ockeghem

    2018/12/14 15:54

    「rootのまま作業するのは良くないと書き込み」の真意を知りたいので、URL等がわかれば教えてください

    キャンセル

  • pipo

    2018/12/16 14:19

    ありがとうございます。
    「rootのまま作業するのは良くないと書き込み」と書いてしまいましたが、
    こちらは書籍の方に書いてあったものでURLはありませんが、
    オライリーの「Docker」という本の中で
    「実働アプリケーションをコンテナ内でrootとして動かしてはいけません。アプリケーションの防御を破った攻撃者は、コンテナへの完全なアクセスを得てしまうでしょう。これには、コンテナのデータとプログラムの両方が含まれます。さらに悪いことには、コンテナから外へ出ることに成功した攻撃者は、ホスト上でrootアクセス権限を持つことになります」
    と注意書きがありました。

    自分はまだセキュリティに関しての知識がないので、注意書きされていることを完全に理解できたわけではないのですが、とりあえず従っておこうと思い、rootで運営はやめようと思いました。

    キャンセル

回答 1

checkベストアンサー

0

以下のエラーメッセージから判断するに、80ポートで待受をしているように見受けられます。

2018/12/09 23:38:30 [emerg] 1#1: bind() to 0.0.0.0:80 failed (13: Permission denied)
nginx: [emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)

bind() to 0.0.0.0:80 failed (13: Permission denied) でGoogle検索すると、以下の質問が見つかりました。

【Docker】nginxを立ち上げ時に0.0.0.0:80 failed (13: Permission denied)

この質問は回答がついていませんが、コメント欄に以下があり、この状況だったようです。

conf.d/ 以下に default.conf 以外のファイルがあって、"listen 80" になっていませんでしょうか?

これに対する返答は以下のとおりです。

バックアップ用にdefault.conf_bk_defというファイルを置いており、その中身が"listen 80"でした。
nginx.conf内の"include /etc/nginx/conf.d/*.conf;"
という記述は.confで終わるファイルを読み込むものだと思い込んでいたので影響はないかと考えていたのですが試しにのけてみたらうまくいきました!

また、以下のコメントにあるように、masterプロセスを root で動かすことはごく一般的な運用だと思います。

master プロセスだけ root で動かしてもいいと思いますが。

というのは、実際に通信を処理するのはworkerプロセスで、こちらは非root(www-dataなど)で動作するためです。乗っ取られるとすると、workerプロセス側であり、この場合はrootユーザーがとられるわけではありません。masterプロセスが乗っ取られるというケースは、ちょっと聞いたことがないですね。
これが、Tomcatなどだと話は別で、rootで起動するとrootのままで動いてしまうので、rootユーザーが乗っ取られるケースはたまにあります。
ということで、nginxのmasterプロセスがrootで動作するのは、そこまで神経質になる必要はないと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/12/16 15:54

    なるほど!
    解決方法だけでなく、運用方法まで助言いただきありがとうございました!
    とても参考になります。
    (一応、参考にいただいた質問内容で、こちらの問題も解決しました!)

    セキュリティに関しての知識が乏しすぎるため、確かに神経質になっていました。
    dockerというより、サーバ全体の勉強をもっとする必要がありそうです。
    本当にありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.51%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる