Início / server / Perguntas / 1165956
Accepted
Corentin
Asked: 2024-10-01 01:51:27 +0800 CST

Segurança para proxy guacd (Apache Guacamole)

  • 772

Desde a documentação do Apache Guacamole, é dito na instalação do Docker do guacd que alavancar sua porta para o host (com "docker run --name some-guacd -d -p 4822:4822 guacamole/guacd") seria um potencial problema de segurança. Minha pergunta é: não é o mesmo se o daemon for instalado sem o Docker, nativamente, no mesmo servidor?

Meu objetivo é obter um serviço Apache Guacamole que possa lidar com o RDP de máquinas que não estão no docker (apenas na mesma rede que o host [via docker ou nativamente])

rdp

1 respostas

  1. Best Answer

    Bem, não é bem a mesma coisa. Digamos que você esteja atrás de um roteador (DHCP) e seu IP seja 192.168.0.100. Vou lhe dar as duas implementações:

    1. Docker - Você tem dois contêineres (guacd e o tomcat para guacamole UI), neste caso, apenas o contêiner tomcat é exposto com uma porta (por exemplo, 8080), o frontend faz solicitações ao backend (guacd) e eles se comunicam entre si via docker proxy daemon. Na mesma rede docker.
    2. Host - Quase o mesmo método, mas aqui o guacd escuta em 127.0.0.1(localhost), que só pode ser acessado dentro do host, e somente o tomcat escuta em 192.168.0.100, então ele pode ser acessado de outros hosts na mesma rede.

    A principal diferença entre as duas implementações é que na primeira o daemon proxy do docker é colocado entre os serviços e o host.

    Aqui está um exemplo rápido:

    preparar.sh

    #!/bin/sh
# check if docker is running
if ! (sudo docker ps >/dev/null 2>&1)
then
        echo "docker daemon not running, will exit"
        exit
fi
echo "Preparing folder init and creating ./init/initdb.sql"
mkdir ./init >/dev/null 2>&1
mkdir ./guac_home >/dev/null 2>&1
chmod -R +x ./init
sudo docker run --rm guacamole/guacamole /opt/guacamole/bin/initdb.sh --postgresql > ./init/initdb.sql
echo "done"

    docker-compose.yml

    networks:
  guacnetwork:
    driver: bridge

services:
  guacd:
    container_name: guacd
    image: guacamole/guacd
    networks:
      guacnetwork:
    restart: unless-stopped
    volumes:
    - ./drive:/drive:rw
    - ./record:/record:rw

  postgres:
    container_name: postgres_guacamole
    environment:
      PGDATA: /var/lib/postgresql/data/guacamole
      POSTGRES_DB: guacamole_db
      POSTGRES_PASSWORD: 'PASSWORD'
      POSTGRES_USER: guacamole_user
    image: postgres
    networks:
      guacnetwork:
    restart: unless-stopped
    volumes:
    - ./init:/docker-entrypoint-initdb.d:z
    - ./data:/var/lib/postgresql/data:Z

  guacamole:
    container_name: guacamole
    depends_on:
    - guacd
    - postgres
    environment:
      GUACD_HOSTNAME: guacd
      POSTGRES_DATABASE: guacamole_db
      POSTGRES_HOSTNAME: postgres
      POSTGRES_PASSWORD: 'PASSWORD'
      POSTGRES_USER: guacamole_user
      REMOTE_IP_VALVE_ENABLED: true
      GUACAMOLE_HOME: /guacamole_home
    image: guacamole/guacamole
    links:
    - guacd
    networks:
      guacnetwork:
    ports:
    - 8080:8080/tcp
    restart: unless-stopped
    volumes:
    - ./guac_home:/guacamole_home:rw
    • 1

relate perguntas