自主升级nginx-ingress-controller的内置nginx组件

已于 2023-10-11 10:58:21 修改
阅读量678 收藏 3
点赞数 1
文章标签: nginx 安全 docker 运维
于 2023-10-11 10:48:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22824481/article/details/133761302
版权

前言

我们由于等保要求或者漏洞扫描,常常会遇到一些漏洞问题。这些漏洞可能不是你直接部署的服务的漏洞。可能是你部署的某个服务的内部组件的漏洞。这时你可能需要单独升级某个服务组件内部的组件。比如升级nginx-ingress-controller的ngix版本这样的需求。

漏洞描述

  • 各个版本情况:rancher:2.4.10、Kubernetes:1.18.0、rancher/nginx-ingress-controller:nginx-0.35.0-rancher2
  • 漏洞描述:nginx 安全漏洞(CVE-2021-23017)
  • 漏洞名称:nginx 安全漏洞(CVE-2021-23017)
    详细描述:Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。受影响版本:0.6.18-1.20.0
    解决办法:厂商补丁:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/(不建议打补丁,可以采用升级的方法处理改漏洞,卸载安装,或者直接安装启用,都可以,nginx安装方法参考我前面的方法。)
    威胁分值:9.4
    危险插件:
    发现日期:2021-05-25
    CVE编号:CVE-2021-23017
    CNNVD编号:CNNVD-202105-1581
    CNCVE编号:CNCVE-202123017
    CVSS评分:6.8

    处理过程

  • 查看当前nginx-ingress-controller镜像系统情况、版本以及所用的nginx版本情况。进入容器内部 nginx -V 、 cat /etc/issue查看。一定要明确当前使用的nginx-ingress-controller镜像是基于alpine还是debian的!!!
  • 查找nginx 对应系统的安装包情况

        可以使用apk search --allow-untrusted nginx 进行查找最新版本。当然你可能需要指定镜像源后再查询:echo http://mirrors.aliyun.com/alpine/v3.18/main/ > /etc/apk/repositories。

        直接也可以直接在nginx和阿里的镜像源这里来查找:

Index of /packages/alpine/  、http://mirrors.aliyun.com/alpine/

以阿里云为例:

  •  更新nginx版本,制作新镜像

        由于线上无法联网,且尽量避免直接在线上操作。我们将rancher/nginx-ingress-controller:nginx-0.35.0-rancher2镜像下载到本地,然后确保本地机器可以连接网络后新开一个cmd窗口进行操作:

PS C:\Users\Administrator\Desktop> docker run -it -u root rancher/nginx-ingress-controller:nginx-0.35.0-rancher2 /bin/bash
bash-5.0# nginx -v
nginx version: nginx/1.19.2
bash-5.0# cat /etc/issue
Welcome to Alpine Linux 3.11
Kernel \r on an \m (\l)

bash-5.0# echo http://mirrors.aliyun.com/alpine/v3.18/main/ > /etc/apk/repositories
bash-5.0# apk add --upgrade --allow-untrusted nginx
fetch http://mirrors.aliyun.com/alpine/v3.18/main/x86_64/APKINDEX.tar.gz
(1/8) Upgrading musl (1.1.24-r2 -> 1.2.4-r2)
(2/8) Purging ca-certificates-cacert (20191127-r2)
(3/8) Installing ca-certificates-bundle (20230506-r0)
(4/8) Upgrading zlib (1.2.11-r3 -> 1.2.13-r1)
(5/8) Installing libcrypto3 (3.1.3-r0)
(6/8) Upgrading pcre (8.43-r0 -> 8.45-r3)
(7/8) Installing libssl3 (3.1.3-r0)
(8/8) Installing nginx (1.24.0-r6)
Executing nginx-1.24.0-r6.pre-install
Executing nginx-1.24.0-r6.post-install
Executing busybox-1.31.1-r9.trigger
Executing ca-certificates-20191127-r2.trigger
OK: 30 MiB in 42 packages
bash-5.0# nginx -v
nginx version: nginx/1.19.2                    ###这个地方还是现实1.19.2 但是应该是缓存问题,我们看到更新1.24.0已经成功了,所以尝试将容器保存为新的镜像试试
bash-5.0#

        由于我们开的是交互式窗口,所以不要退出,退出后容器就进不来了,所以再开一个cmd进行容器保存和测试:

#########新开一个cmd  将容器保存为镜像################
PS C:\Users\Administrator\Desktop\test> docker ps
CONTAINER ID   IMAGE                                                    COMMAND                   CREATED         STATUS         PORTS             NAMES
957cf78e4b8e   rancher/nginx-ingress-controller:nginx-0.35.0-rancher2   "/usr/bin/dumb-init …"   2 minutes ago   Up 2 minutes   80/tcp, 443/tcp   confident_robinson
PS C:\Users\Administrator\Desktop\test> docker commit -m="nginx-ingerss-controller自定义镜像基于apline3.11、nginx1.24.0" -a="yinghuo1129" 957cf78e4b8e 10.**.**.**:30000/ruifei/toos/nginx-ingerss-controller:nginx1.24.0-Release
sha256:b457932f1b5913c72d55e5acf315a31b50f9a0982384285122c513545180e996
PS C:\Users\Administrator\Desktop\test> docker run -it -u root 10.**.**.**:30000/ruifei/toos/nginx-ingerss-controller:nginx1.24.0-Release /bin/bash
bash-5.0# nginx -v
nginx version: nginx/1.24.0
bash-5.0# nginx -V
nginx version: nginx/1.24.0
built with OpenSSL 3.1.0 14 Mar 2023 (running with OpenSSL 3.1.3 19 Sep 2023)
TLS SNI support enabled
configure arguments: --prefix=/var/lib/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --pid-path=/run/nginx/nginx.pid --lock-path=/run/nginx/nginx.lock --http-client-body-temp-path=/var/lib/nginx/tmp/client_body --http-proxy-temp-path=/var/lib/nginx/tmp/proxy --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --with-perl_modules_path=/usr/lib/perl5/vendor_perl --user=nginx --group=nginx --with-threads --with-file-aio --without-pcre2 --with-http_ssl_module --with-http_v2_module --with-http_realip_module --with-http_addition_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_auth_request_module --with-http_random_index_module --with-http_secure_link_module --with-http_degradation_module --with-http_slice_module --with-http_stub_status_module --with-http_perl_module=dynamic --with-mail=dynamic --with-mail_ssl_module --with-stream=dynamic --with-stream_ssl_module --with-stream_realip_module --with-stream_geoip_module=dynamic --with-stream_ssl_preread_module --add-dynamic-module=/home/buildozer/aports/main/nginx/src/njs-0.7.11/nginx --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_devel_kit-0.3.2/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/traffic-accounting-nginx-module-2.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/array-var-nginx-module-0.06/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-auth-jwt-0.2.1/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_brotli-1.0.0rc/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_cache_purge-2.5.3/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx_cookie_flag_module-1.1.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-dav-ext-module-3.0.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/echo-nginx-module-0.63/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/encrypted-session-nginx-module-0.09/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx-fancyindex-0.5.2/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_http_geoip2_module-3.4/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/headers-more-nginx-module-0.34/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-keyval-0.1.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-log-zmq-1.0.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/lua-nginx-module-0.10.24/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/lua-upstream-nginx-module-0.07/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/naxsi-1.3/naxsi_src --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nchan-1.3.6/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/redis2-nginx-module-0.15/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/set-misc-nginx-module-0.33/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-http-shibboleth-2.0.1/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_http_untar_module-1.1/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-upload-module-2.3.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-upload-progress-module-0.9.2/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-upstream-fair-0.1.3/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_upstream_jdomain-1.4.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-vod-module-1.31/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-module-vts-0.2.1/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/mod_zip-1.3.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-rtmp-module-1.2.2/
bash-5.0# exit
exit
PS C:\Users\Administrator\Desktop\test>

好,至此我们已经成功完成了nginx版本的升级得到了我们自己的新的nginx-ingerss-controller镜像,可以push到自己的私有仓库,然后升级测试了。

 总结

        其实更新和升级nginx是个很常见的问题,系统漏洞有很大一部分都是 数据库、redis、nginx、swagger等常见组件导致的,遇到漏洞不要慌慢慢处理和分析即可。另外如果有小伙伴觉得都没法通过 add 或者 apt-get 等命令安装,只能通过源码编译的话也可以大胆尝试,参考升级ingress-nginx-controller的nginx版本_修改 ingress 镜像版本-CSDN博客

参考&资源查找

升级ingress-nginx-controller的nginx版本_修改 ingress 镜像版本-CSDN博客

Dockerfile中使用alpine镜像部署nginx服务_nginx alpine docker 安装模块-CSDN博客

alpine 镜像下 apk 命令的使用_程序员_IT虾米网

nginx源码版本下载地址

nginx源码编译模块查找地址

nginx-apline3.18安装包地址

萤火1129
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
升级ingress-nginx-controller的nginx版本
polarwu的博客
02-26 8962
线上的k8s使用nginx所在的边缘节点来将外部访问导流到集群内部容器,ingress-nginx-controller是k8s众多ingress controller实现中的一种,以agent+nginx的方式提供服务。agent通过watch k8s的ingress、configmap、endpoint等资源的变化,修改nginx的配文件,并负责nginx的reload等工作。如果ingre...
【Kubernetes资源篇】ingress-nginx最佳实践详解
秦子腾
07-23 3534
是一个七层负载调度器,常见的七层负载均衡器有nginx、traefik,以我们熟悉的nginx为例,客户端的请求首先会到Ingress Controller七层负载调度器,由七层负载调度器将请求代理到后端的Pod。以Nginx举例,客户端请求首先会到Nginx中,由Nginx中的upstream模块将请求代理到后端的服务上,但是K8s场景下,后端Pod的IP地址不是固定的,因此在Pod前面需要添加一个service资源,请求到达Service,由Service代理到后端的Pod。
实现Ingress-Nginx Controller高可用方案
qq_44930876的博客
06-05 1194
实现Ingress-Nginx Controller高可用方案
k8s 滚动升级nginx-ingress-controller版本和回退
qq_34135615的博客
10-07 1740
k8s 滚动升级nginx-ingress-controller版本和回退
nginx-ingress-controller组件Nginx的版本升级
康小虎的博客
02-21 1072
自己升级nginx-ingress-controller组件中的Nginx版本,避免整体组件升级带来的兼容性问题
kubernetes 部署 nginx-ingress-controller
以梦为马|越骑越傻
07-08 737
在没有 ingress 规则的时候,我们去访问。开放出来的,也可以去其他节点验证。这个时候去访问域名,一样可以返回。下面来配 ingress 规则。可以看到,暴露出来的端口是。返回状态码 200,表示成功。
升级 `quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0` 镜像中的 Nginx 以修复漏洞
美味小鱼的杂货铺
06-18 403
最近,我们发现镜像中使用的 Nginx 版本存在已知漏洞。为了确保系统的安全性,我们决定将 Nginx 升级到最新的稳定版本。在本文中,我们将介绍如何通过修改 Dockerfile 来实现这一升级过程。
nginx-ingress-controller operator方式部署
m0_45363149的博客
11-07 884
最近要求使用operator方式自定义部署nginx-ingress-controller,网上没有案例,这里对自己部署步骤做个记录系统环境:Centos7.9nginx-ingress-controller官网:https://docs.nginx.com/nginx-ingress-controller/installation/installation-with-operator/
裸机k8s安装nginx-ingress-controller
There is no one l would rather be than me
06-01 1312
裸机k8s安装nginx-ingress-controller
nginx-ingress-controller功能
longtds的博客
04-27 2362
参考:https://kubernetes.github.io/ 典型使用方式http和https apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: annotations: nginx.ingress.kubernetes.io/proxy-body-size: "0" nginx.ingress.kubernetes.io/proxy-read-timeout: "600" nginx.in.
nginx-ingress-controller-0.30.0.tar
09-28
因为网络原因不能下载quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0,可以使用这个镜像
quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.20.0镜像包
03-06
kubernetes的quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.20.0镜像包,版本为v0.20.0。文件先解压,之后得到nginx-ingress-controller.0.20.0.tar
ingress-nginx-controller(含镜像和代码).rar
10-28
总结,ingress-nginx-controller 是 Kubernetes 集群中实现高效、灵活的外部访问控制的关键组件。通过理解其工作原理和配方法,你可以更好地管理和扩展你的云原生应用程序。如果你想要深入了解,可以参考给定的...
ingress-nginx-controller-1.9.yaml
10-18
修改好 "ingress-nginx-controller-1.9.yaml" 文件后,可以使用 `kubectl apply -f ingress-controller-1.9.yaml` 命令进行部署。对于 "nginx-tomcat-svc-ingress.yaml" 和 "nginx-tomcat-deploy.yaml",同样使用 `...
nginx-ingress-controller日志持久化方案的解决
01-09
最近看到一篇公众号讲了nginx-ingress-controller的应用。下面有人评论如何做日志持久化,刚好工作上遇到该问题,整理一个方案,仅供参考。 nginx-ingress-controller的日志 nginx-ingress-controller的日志包括三...
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 253
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
如何避免蓝屏?轻量部署,安全和业务连续性才能两不误
亚信安全官方账号的博客
07-23 630
轻量部署,安全和业务连续性才能两不误
深入理解Kubescape: Kubernetes安全平台与容器镜像漏洞修复
TechEnthusiast的博客
07-23 233
Kubescape是一个开源的Kubernetes安全平台,由ARMO公司开发并维护。风险分析安全合规性检查配错误扫描容器镜像漏洞扫描和修复Kubescape的优势在于其全面性和易用性。它不仅能够识别问题,还能提供修复建议,甚至在某些情况下自动进行修复。Kubescape作为一个全面的Kubernetes安全平台,其镜像修复功能为用户提供了强大的工具来应对容器安全挑战。通过自动化的漏洞扫描和修复流程,它大大降低了维护Kubernetes环境安全性的复杂度和工作量。
nginx-ingress-controller
06-06
### 回答1: nginx-ingress-controller是一种用于Kubernetes集群的Ingress控制器,它使用Nginx作为反向代理来管理入站流量。它可以自动将Ingress资源转换为Nginx,并将流量路由到正确的后端服务。它还支持SSL终止、负载均衡、基于URI的路由和HTTP头的修改等功能。nginx-ingress-controller是Kubernetes社区中最受欢迎的Ingress控制器之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

萤火1129

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值