New Research: Supply Chain Attack on Axios Pulls Malicious Dependency from npm.Details →
Socket
Book a DemoSign in
Socket
Book a DemoSign in

light-deploy

Package Overview
Dependencies
Maintainers
1
Versions
5
Alerts
File Explorer

Advanced tools

License
Socket logo

Install Socket

Detect and block malicious and high-risk dependencies

Install

light-deploy

1. 安装 # yum install docker -y # service start docker # chkconf on docker

latest
npmnpm
Version
0.1.4
Version published
Maintainers
1
Created
Source
  • 安装

yum install docker -y

service start docker

chkconf on docker

centos7 启动出错

yum install device-mapper-event-libs -y

  • 创建镜像

docker build -t="alphabets/zabbix:v0.0.1" zabbix

docker build -t="alphabets/nginx:v0.0.1" nginx

docker build -t="alphabets/fluentd:v0.0.1" fluentd

docker build -t="alphabets/node:v0.0.1" node

docker build -t="alphabets/light:v0.0.1" light

docker build -t="alphabets/fastfix:v0.0.1" fastfix

  • 常用命令

查看本地的镜像

docker images

启动镜像

docker run -p 80:80 -d --name zabbix 26f8955245bb

docker run --rm=true -p 8080:8080 -p 8889:22 --hostname=gitlab --name gitlab alphabets/gitlab:v0.0.1

docker run -d --rm=true -p 8080:8080 -p 29418:29418 --hostname=gitbucket --name gitbucket alphabets/gitbucket:v0.0.1

docker run -d --restart=always --add-host=db:10.165.46.250 --publish=5003:5003 --hostname=fastfix --name=fastfix alphabets/fastfix:v0.0.1

docker run -d --restart=always --add-host=db:10.165.46.250 --publish=7000:7000 --hostname=admin --name=admin alphabets/lightadmin:v0.1.0

docker run -d --restart=always --publish=4506:4506 --publish=4505:4505 --name=salt alphabets/salt:v0.0.1

查看容器列表

docker ps -a

SSH接入容器

docker exec -t -i 057df86d3418 /bin/bash

docker run --name zabbix -t -i 8768c02052ae /bin/bash

zabbix-agent

  • CentOS7

iptables -A INPUT -m state --state NEW -p tcp --dport 10050 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 10051 -j ACCEPT

docker run docker info docker images docker logs docker top 查看容器内的进程 docker exec docker stop docker rm 删除容器 docker ps -a 查看容器列表 docker rmi 删除镜像 docker cp 拷贝容器内文件

run

-i STDIN开启 -t 为容器分配tty终端 -d daemon模式启动 --name 设定容器名称 --restart 自动重启 --rm 自动删除

--privileged 允许操作iptables?

logs

-f 日志跟踪 -t 加时间戳

常用命令

命令行模式进入容器

docker exec -t -i 9b30e9a6c9a3 /bin/bash

删除所有容器

docker rm docker ps -a -q

备份volumn内的数据

docker cp $ID:/var/jenkins_home

docker build -t="alphabets/nginx:v0.0.1" nginx

查看绑定的VOLUMN

docker inspect -f '{{ .Volumes }}' source

疑问

  • jenkins的数据 怎么办?通过画面设定的内容,是否可以共享

  • nginx的log怎么办 使用通用的log容器?

tag做成

docker tag 24dd746e9b9f docker.light.cn/registry:latest

command

启动jenkins

docker run -p 8080:8080 -v /var/jenkins_home -d --name jenkins 4e288907973a

启动nginx 连接jenkins

docker run -p 80:80 --link jenkins:jenkins -d --name nginx 23a528ae15fc

启动数据容器

docker run --name data e42b62c80cb6 true

How to start pm2 server in a docker container

http://zgu.me/blog/2014/08/25/how-to-start-pm2-server-in-a-docker-container/

docker 服务无法启动

  • yum update device-mapper 来升级device-mapper

依赖的官方镜像

centos 7.1.1503 busybox latest registry 2.0.0

docker 内启动服务的方法

http://www.hilotech.jp/blog/it/290 http://thinkit.co.jp/story/2015/01/29/5501

  • 切换centos版本 为最新,使用yum的时候有包冲突的问题
  • 切换fakesystemd 到 systemd,为了使用服务启动多个进程
  • 启动时,使用--privileged, 启动脚本指定为/sbin/init

    docker run -p 4505:4505 -p 4506:4506 --rm=true --privileged docker.alphabets.cn/salt /sbin/init

docker build -t="docker.alphabets.cn/registry" registry

docker build -t="docker.alphabets.cn/bind" bind

port docker registry - 5000 bind - 53 squid - 3128

删除所有容器

docker rm docker ps --no-trunc -aq

docker rmi $(docker images -q)

查询所有的 registry 的images

curl -X GET http://docker.light.cn:5000/v1/search

curl -O http://www.alphabets.cn/lib/ca-certificates.crt

container 导入

cat fastfix_data.tar | docker import - docker.light.cn/fastfix_data:0.0.1

备份容器数据

docker run --volumes-from fastfix_data --rm -v $(pwd):/backup docker.light.cn/busybox tar cvf /backup/data.tar /data

docker run --volumes-from fastfix_data --rm -v $(pwd):/backup docker.light.cn/busybox tar xvf /backup/data.tar

docker run --volumes-from fastfix_data --rm docker.light.cn/busybox ls -lh /data

拷贝文件

docker run -it --volumes-from site_data --rm -v $(pwd):/backup docker.alphabets.cn/data:0.0.1 sh

http://alvinhenrick.com/2015/01/26/docker-backup-and-restore-volume-container/

查看物理文件位置

$ docker inspect -f "{{.Volumes}}" test

删除一行 sh -c "sed -i '/^b.*/d' /data/test"

bind的设定

http://www.mk-mode.com/octopress/2014/08/13/centos-7-0-installation-of-bind/ http://centossrv.com/bind.shtml http://kajuhome.com/bind.shtml

squid代理

yum -y install squid

systemctl start squid

export http_proxy=10.10.106.231:3128

export https_proxy=10.144.161.119:3128

export SOCKS_SERVER=1.2.3.4:8000

docker build里使用代理

env http_proxy 10.251.137.130:3128

copy ca.crt to /etc/ssl/certs/ca-certificates.crt restart docker

export ALL_PROXY=socks5h://localhost:1080

################### 生成Self Signed证书 # 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输, # 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护

openssl genrsa -des3 -out selfsign.key 4096

使用上面生成的key,生成一个certificate signing request (CSR)

如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,

其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。

openssl req -new -key selfsign.key -out selfsign.csr

生成Self Signed证书 selfsign.crt就是我们生成的证书了

openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

# 另外一个比较简单的方法就是用下面的命令,一次生成key和证书

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

生成自己的CA (Certificate Authority) # 生成CA的key

openssl genrsa -des3 -out ca.key 4096

生成CA的证书

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

生成我们的key和CSR这两步与上面Self Signed中是一样的

openssl genrsa -des3 -out light.key 4096 openssl req -new -key light.key -out light.csr

使用ca的证书和key,生成我们的证书

这里的set_serial指明了证书的序号,如果证书过期了(365天后),

或者证书key泄漏了,需要重新发证的时候,就要加1

openssl x509 -req -days 365 -in light.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out light.crt

查看证书

查看KEY信息

openssl rsa -noout -text -in myserver.key

查看CSR信息

openssl req -noout -text -in myserver.csr

查看证书信息

openssl x509 -noout -text -in ca.crt

验证证书

会提示self signed

openssl verify selfsign.crt

因为myserver.crt 是幅ca.crt发布的,所以会验证成功

openssl verify -CAfile ca.crt myserver.crt

去掉key的密码保护 有时候每次都要输入密码太繁琐了,可以把Key的保护密码去掉

openssl rsa -in light.key -out light.key.insecure

不同格式证书的转换

PKCS转换为PEM

openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes

PEM转换为DER

openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]

PEM提取KEY

openssl RSA -in myserver.pem -out myserver.key

DER转换为PEM

openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem

PEM转换为PKCS

openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt

测试证书 Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用。

连接到远程服务器

openssl s_client -connect www.google.com.hk:443

模拟的HTTPS服务,可以返回Openssl相关信息

-accept 用来指定监听的端口号

-cert -key 用来指定提供服务的key和证书

openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

可以将key和证书写到同一个文件中

cat myserver.crt myserver.key > myserver.pem

使用的时候只提供一个参数就可以了

openssl s_server -accept 443 -cert myserver.pem -www

可以将服务器的证书保存下来

openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem

转换成DER文件,就可以在Windows下直接查看了

openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer

计算MD5和SHA1

MD5 digest

openssl dgst -md5 filename

SHA1 digest

openssl dgst -sha1 filename

name server

TTL 客户端保存缓存的时间 SOA Serial zone文件版本 NS DNS服务器名 MX 10 邮件服务器名 @ 符号代表完整的FQDN * A IP地址 CNAME 别名

zone file template

$TTL 3600 @ IN SOA light.cn. admin.light.cn.( 2015050101; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum IN NS light.cn. @ IN A 10.251.137.130

  •    IN A     10.251.137.130

docker IN A 10.251.137.130 salt IN A 10.164.24.247

确认DNS

dig

nslookup

让缓存失效

nscd -i hosts

bind工具, dig, nslookup等

yum -y install bind-utils

bind无法解析自己的域名问题:

会有如下错误 reply from unexpected source expected

bind的自域名需要在/etc/hosts里登录,如下dig docker IN A 10.163.170.150 salt IN A 10.163.170.150 zabbix IN A 10.163.170.150 controller IN A 10.163.170.150 mysql IN A 10.163.170.150

10.163.170.150 salt

linux 版本确认

~$ head /etc/*release DISTRIB_ID=Ubuntu DISTRIB_RELEASE=12.04 DISTRIB_CODENAME=precise DISTRIB_DESCRIPTION="Ubuntu 12.04.1 LTS"

Code: $ uname -a Linux anacreon 3.4.2-linode44 #1 SMP Tue Jun 12 15:04:46 EDT 2012 i686 i686 i386 GNU/Linux]

文件夹大小确认

du -h -s * ll -h

SQUID 缓存情况

缓存详细

squidclient -h 127.0.0.1 -p 3128 mgr:info >> hit.log

从日志查询hit数

cat /var/log/squid/access.log | grep HIT | wc -l cat /var/log/squid/access.log | grep MISS | wc -l

生成密码文件

docker run --entrypoint htpasswd docker.alphabets.cn/registry:2.5.1 -Bbn admin alphabets > htpasswd

docker inspect registry

cp -R htpasswd ssl docker_folder

FAQs

Package last updated on 28 Oct 2016

Did you know?

Socket

Socket for GitHub automatically highlights issues in each pull request and monitors the health of all your open source dependencies. Discover the contents of your packages and block harmful activity before you install or update your dependencies.

Install

Related posts

The Hidden Blast Radius of the Axios Compromise

Security News

The Hidden Blast Radius of the Axios Compromise

The Axios compromise shows how time-dependent dependency resolution makes exposure harder to detect and contain.

By Ahmad Nassri  -  Apr 01, 2026