系统相关
首页 > 系统相关> > nginx-photon升级到2.3.1

nginx-photon升级到2.3.1

作者:互联网

前提

harbor1.5.1里面的nginx-photon的是1.5.1,安全侧发现nginx存在漏洞,需要升级。

一、升级到nginx-photon1.8.6

1、在dockerhub官网下载nginx-photon1.8.6。
2、修改docker-compose.yml,修改nginx-photon1.5.1为nginx-photon1.8.6。
3、重启harbor
docker-compose down -v
docker-compose up -d

二、升级到nginx-photon2.3.1

1、在dockerhub官网下载nginx-photon2.3.1。
2、修改docker-compose.yml,修改nginx-photon1.5.1为nginx-photon2.3.1。
3、重启harbor
docker-compose down -v
docker-compose up -d

报错了,提示“nginx: [emerg] open() “/etc/nginx/nginx.conf” failed (13: Permission denied)” 或者 “ [emerg] 1#0: bind() to 0.0.0.0:443 failed (13: Permission denied)”

解决:尝试1,失败

chmod修改权限 或者在root用户下, 或者使用sudo,均失败

解决:尝试2,失败

nginx.conf里面配置user, 失败
添加
user root;
或者
user nginx root;

解决:尝试3,失败

修改docker-compose.yml,注释cap_drop,然后cap_add添加ALL权限,依然不行

cap_drop:
  - ALL
cap_add:
  - CHOWN
  - SETGID
  - SETUID
  - NET_BIND_SERVICE

改为

#cap_drop:
#  - ALL
cap_add:
  - ALL
#  - CHOWN
#  - SETGID
#  - SETUID
#  - NET_BIND_SERVICE

解决:尝试4,失败

修改docker-compose.yml,添加privileged: true提高权限,仍然不行

cap_drop:
  - ALL
cap_add:
  - CHOWN
  - SETGID
  - SETUID
  - NET_BIND_SERVICE

改为

privileged: true
#cap_drop:
#  - ALL
cap_add:
  - ALL
#  - CHOWN
#  - SETGID
#  - SETUID
#  - NET_BIND_SERVICE

解决:尝试5,失败

谷歌一圈,找到大神的方法,试了,仍然不行

CURRENT_UID= ( i d − u ) : (id -u): (id−u):(id -g) docker-compose up -d

解决:尝试6,成功

修改docker-compose.yml,添加user: “0:0” ,是可以的。

cap_drop:
  - ALL
cap_add:
  - CHOWN
  - SETGID
  - SETUID
  - NET_BIND_SERVICE

改为

user: "0:0"
cap_drop:
  - ALL
cap_add:
  - CHOWN
  - SETGID
  - SETUID
  - NET_BIND_SERVICE

三、总结

1、nginx-photon自1.9之后,其docker镜像里面多了“user nginx"。 解决思路就是想办法使得nginx-photon获得root权限。

新的nginx-photon:v2.3.1, 有“user nginx"
在这里插入图片描述2、 不明白为什么privileged: true、cap_add添加ALL,均失败了。

最终使用user: “0:0”,获得root权限成功。

标签:compose,cap,photon,nginx,add,user,2.3,docker
来源: https://blog.csdn.net/jamie1025/article/details/119324346