前提
harbor1.5.1里面的nginx-photon的是1.5.1,安全侧发现nginx存在漏洞,需要升级。
一、升级到nginx-photon1.8.6
1、在dockerhub官网下载nginx-photon1.8.6。
2、修改docker-compose.yml,修改nginx-photon1.5.1为nginx-photon1.8.6。
3、重启harbor
docker-compose down -v
docker-compose up -d
二、升级到nginx-photon2.3.1
1、在dockerhub官网下载nginx-photon2.3.1。
2、修改docker-compose.yml,修改nginx-photon1.5.1为nginx-photon2.3.1。
3、重启harbor
docker-compose down -v
docker-compose up -d
报错了,提示“nginx: [emerg] open() “/etc/nginx/nginx.conf” failed (13: Permission denied)” 或者 “ [emerg] 1#0: bind() to 0.0.0.0:443 failed (13: Permission denied)”
解决:尝试1,失败
chmod修改权限 或者在root用户下, 或者使用sudo,均失败
解决:尝试2,失败
nginx.conf里面配置user, 失败
添加
user root;
或者
user nginx root;
解决:尝试3,失败
修改docker-compose.yml,注释cap_drop,然后cap_add添加ALL权限,依然不行
cap_drop:
- ALL
cap_add:
- CHOWN
- SETGID
- SETUID
- NET_BIND_SERVICE
改为
#cap_drop:
# - ALL
cap_add:
- ALL
# - CHOWN
# - SETGID
# - SETUID
# - NET_BIND_SERVICE
解决:尝试4,失败
修改docker-compose.yml,添加privileged: true提高权限,仍然不行
cap_drop:
- ALL
cap_add:
- CHOWN
- SETGID
- SETUID
- NET_BIND_SERVICE
改为
privileged: true
#cap_drop:
# - ALL
cap_add:
- ALL
# - CHOWN
# - SETGID
# - SETUID
# - NET_BIND_SERVICE
解决:尝试5,失败
谷歌一圈,找到大神的方法,试了,仍然不行
CURRENT_UID= ( i d − u ) : (id -u): (id−u):(id -g) docker-compose up -d
解决:尝试6,成功
修改docker-compose.yml,添加user: “0:0” ,是可以的。
cap_drop:
- ALL
cap_add:
- CHOWN
- SETGID
- SETUID
- NET_BIND_SERVICE
改为
user: "0:0"
cap_drop:
- ALL
cap_add:
- CHOWN
- SETGID
- SETUID
- NET_BIND_SERVICE
三、总结
1、nginx-photon自1.9之后,其docker镜像里面多了“user nginx"。 解决思路就是想办法使得nginx-photon获得root权限。
新的nginx-photon:v2.3.1, 有“user nginx"
2、 不明白为什么privileged: true、cap_add添加ALL,均失败了。
最终使用user: “0:0”,获得root权限成功。