Docker 容器中 SSH 服务的配置与应用

1. 引言

Docker 容器技术以其轻量级、可移植性和隔离性，已成为现代软件开发和部署的标准实践。在许多场景下，需要通过 SSH（Secure Shell）协议安全地访问和管理正在运行的 Docker 容器。例如，调试容器内部的应用程序、查看日志文件、执行维护任务或进行远程开发。

原生 Docker 设计理念倾向于将容器视为一次性、不可变的基础设施。通常建议通过 docker exec 命令进入容器执行临时性操作，而不是长期依赖 SSH 连接。然而，在特定情况下，如需要长时间维护、调试或提供类似传统服务器的管理体验时，启用 SSH 服务是必要的。

本文将深入探讨在 Docker 容器中启用和使用 SSH 服务的各种方法、最佳实践、安全考虑因素以及潜在的替代方案。

2. 在 Docker 容器中启用 SSH 服务的方法

在 Docker 容器中启用 SSH 服务主要有两种方式：

2.1 基于现有镜像构建

这种方法利用已有的基础镜像（如 Ubuntu、CentOS 等），在其基础上安装和配置 SSH 服务。

1. 创建 Dockerfile:

   ```dockerfile

   选择一个基础镜像

   FROM ubuntu:latest

   更新软件包列表并安装 openssh-server

   RUN apt-get update && apt-get install -y openssh-server

   创建 SSH 服务所需的目录

   RUN mkdir /var/run/sshd

   设置 root 用户的密码 (生产环境中应避免使用root用户和弱密码)

   RUN echo 'root:password123' | chpasswd

   暴露 SSH 端口

   EXPOSE 22

   启动 SSH 服务

   CMD ["/usr/sbin/sshd", "-D"]
   ```

2. 构建镜像:

   bash
docker build -t my-ssh-image .

3. 运行容器:

   bash
docker run -d -p 2222:22 my-ssh-image

   这条命令将容器的 22 端口映射到宿主机的 2222 端口。

4. 连接到容器:

   bash
ssh root@<宿主机IP> -p 2222

   输入密码 password123 即可登录。

2.2 从头构建（Scratch）

从头构建镜像可以提供最大的灵活性和最小的镜像尺寸，但需要更多的工作来配置所有必要的组件。通常，这种方法适用于对系统底层有深入了解并且有特殊需求的用户。不建议初学者采用这种方法。

构建过程将涉及到编译 SSH 服务端程序、配置用户、设置密钥认证等，流程复杂且有一定技术难度。

3. 安全性考虑

在 Docker 容器中启用 SSH 服务时，安全性至关重要。以下是一些关键的安全建议：

1. 禁用 root 登录：
   创建专用用户并使用该用户进行 SSH 登录。在 Dockerfile 中添加如下指令：

   dockerfile
RUN useradd -m -s /bin/bash myuser
RUN usermod -aG sudo myuser # 可选，赋予 sudo 权限
RUN echo 'myuser:mypassword' | chpasswd

   修改 /etc/ssh/sshd_config 文件，设置 PermitRootLogin no。

2. 使用 SSH 密钥认证：
   禁用密码登录，仅允许使用 SSH 密钥进行身份验证。这可以有效防止暴力破解攻击。

   • 在客户端生成密钥对：

     bash
ssh-keygen -t rsa -b 4096

   • 将公钥 (id_rsa.pub) 复制到容器内的 /home/myuser/.ssh/authorized_keys 文件中。可以在Dockerfile中通过COPY命令实现。

   • 修改 /etc/ssh/sshd_config 文件，设置 PasswordAuthentication no。

3. 修改默认 SSH 端口：
   将 SSH 端口更改为非标准端口（如 2222），可以减少被自动化扫描工具攻击的风险。在 Dockerfile 中使用 EXPOSE 指令暴露新端口，并在运行容器时进行端口映射。

4. 最小化权限：
   遵循最小权限原则，仅授予用户执行其任务所需的最低权限。避免使用 root 用户进行日常操作。

5. 定期更新：
   保持基础镜像和 SSH 服务端的更新，以修复已知的安全漏洞。

6. 使用防火墙：
   在宿主机上配置防火墙规则，仅允许来自受信任 IP 地址的 SSH 连接。

7. 监控和日志：
   监控 SSH 登录尝试和活动，并记录日志以便进行审计和故障排除。

8. 限制资源使用
   通过Docker的资源限制功能（如CPU、内存限制），防止SSH服务或容器内其他进程消耗过多资源。

4. SSH 服务配置的深入探讨

4.1 sshd_config 文件的关键配置项

/etc/ssh/sshd_config 文件是 SSH 服务的主要配置文件。以下是一些重要的配置选项及其说明：

• Port: 指定 SSH 服务监听的端口。
• ListenAddress: 指定 SSH 服务监听的 IP 地址。默认监听所有接口。
• PermitRootLogin: 是否允许 root 用户登录。
• PasswordAuthentication: 是否允许密码认证。
• PubkeyAuthentication: 是否允许公钥认证。
• AuthorizedKeysFile: 指定公钥文件的位置。
• ChallengeResponseAuthentication: 是否允许挑战-响应认证（通常用于 PAM）。
• UsePAM: 是否使用 PAM（Pluggable Authentication Modules）。
• X11Forwarding: 是否允许 X11 转发。
• AllowUsers: 允许登录的用户列表。
• DenyUsers: 禁止登录的用户列表。
• Subsystem: 定义子系统，例如 sftp。

对这些选项进行修改后，需要重启 SSH 服务才能生效。

4.2 多用户管理与权限控制

在生产环境中，通常需要管理多个用户并控制其权限。

1. 创建用户：

   bash
useradd -m -s /bin/bash user1
passwd user1

2. 用户组管理：
   创建用户组并将用户添加到组中。

   bash
groupadd developers
usermod -aG developers user1

3. 权限控制：
   使用 chown 和 chmod 命令控制文件和目录的权限。

   bash
chown user1:developers /home/user1/project
chmod 750 /home/user1/project

4. Sudo权限
   如果需要授予用户sudo权限，可以使用usermod -aG sudo username命令，或者编辑/etc/sudoers文件（建议使用visudo命令）。

4.3 SSH 密钥管理的最佳实践

1. 为每个用户生成独立的密钥对。
2. 使用强密码保护私钥。
3. 定期轮换密钥。
4. 将公钥存储在安全的位置。
5. 不要将私钥存储在容器镜像中。 建议在容器运行时通过挂载卷或环境变量的方式传入私钥。

5. docker exec 与 SSH 的对比

docker exec 命令允许在正在运行的容器中执行命令。这通常是与容器交互的首选方式，因为它不需要额外的服务或配置。

以下对比展示两种方式的不同。

| 特性 | docker exec | SSH |
| ------------ | ------------------------------------ | ---------------------------------------- |
| 用途 | 临时性、一次性的命令执行 | 持久性连接、远程管理 |
| 安全性 | 相对安全，不需要暴露端口 | 需要仔细配置以确保安全 |
| 配置 | 无需额外配置 | 需要安装和配置 SSH 服务 |
| 资源消耗 | 较低 | 较高，需要运行 SSH 服务 |
| 适用场景 | 调试、查看日志、执行简单命令 | 长期维护、远程开发、传统服务器管理模式 |

替代方案呈现：

用途方面：

• docker exec: 快速进入容器执行一次性操作，比如查看某个文件的内容，或者执行一个简单的命令。就像是“临时拜访”一下容器。
• SSH: 需要长时间、持续地连接到容器，就像拥有了容器的“长期居住证”，可以随时进出并进行各种操作。

安全方面：

• docker exec: 直接通过 Docker 引擎与容器交互，不需要额外暴露端口，因此相对更安全。
• SSH: 需要开放端口并配置认证方式，如果配置不当，容易成为安全漏洞。

配置方面：

• docker exec: 无需额外配置。
• SSH: 需要在容器内安装并配置 SSH 服务端程序。

资源消耗

• docker exec: 几乎不消耗额外资源。
• SSH： 需要运行一个 sshd 进程，会占用一定的系统资源。

适用场景

• docker exec: 适合快速调试、查看日志、执行简单命令等场景。
• SSH: 适合长期维护、远程开发、需要像传统服务器一样管理容器的场景。

6. 其他连接容器的方式

除 SSH 和 docker exec 外，还有一些其他的连接和管理 Docker 容器的方式：

1. Docker API: Docker 提供了 RESTful API，允许通过 HTTP 请求与 Docker 守护进程进行交互，从而实现对容器的控制。
2. 容器管理工具: 如 Portainer、Rancher 等，提供了图形化界面和更高级的功能，简化了容器的管理和监控。
3. 编排工具: 如 Kubernetes、Docker Swarm 等，提供了集群级别的容器管理和编排能力。

7. 进一步的思考

在容器化环境中启用 SSH 服务并非“银弹”，需要根据具体需求进行权衡。随着容器技术的发展和安全最佳实践的演进，应持续评估和调整连接容器的方式。

例如，对于需要高度安全性和隔离性的场景，可以考虑使用更轻量级的容器运行时（如 gVisor、Kata Containers）或无服务器（Serverless）架构。

8. 总结之外 - 走向容器化管理

Docker 容器中启用 SSH 服务为传统运维模式向容器化迁移提供了一种过渡方案。尽管有其适用场景，但更推荐拥抱容器化的理念，充分利用 docker exec、Docker API 以及各种容器管理和编排工具，实现更安全、高效、可扩展的容器管理方式。
重要的是理解每种方法的优势和局限性，并根据实际情况做出最合适的选择。未来，随着容器技术的不断发展，将会有更多安全、便捷的容器交互方式出现。