一、 背景
某资源池控制面和运行面生产环境部署的harbor被漏扫出弱口令需要进行整改,主要涉及 default、server、signer用户存在弱口令。
二、 分析与处理
首先需求确认这三个用户是harbor那个组件使用,最好确认的是default这个用户,它是redis的默认用户,server、signer这两个在harbor.yml配置文件的引用外部组件中有定义,涉及到notary这个组件。
上面用户都确认完了,哪后面就是涉及密码更改,调整密码这个就需要谨慎对待了,因为harbor中各个组件也有相互通过用户密码链接的情况,因为我们harbor中的组件并没有开启外部组件,都是默认安装的,所以还得看下harbor的github对应版本代码中怎么定义默认安装这块密码设置,翻了半天总是找到了,在habor代码这个路径下找到了对应sql,如下图:
官方这个密码设置的真是简单呀!那个signer用户密码跟这个一样,默认安装就是这样,我查了下我们安装的harbor根本没有用的notaryserver和notarysigner,所以直接可以直接到harbor的pg库里面修改对应的用户密码即可,修改密码命令如下:
alter user server with password ‘your passwd’;
alter signer server with password ‘your passwd’;
更改完之后也不用担心habor重启后密码会回退,因为habror在安装的时候会把数据持久化到本地盘。
另外一种情况就是部署habor用到了notary组件,它会持久化一个文件到你本地安装目录下,如下:
harbor在安装的代码文件中会定义一个docker-compose模板文件,上图就是我截取的一部分,它会通过common/config/notary目录下定义的server和signer的env文件获取对应变量。对应的env命名如下:
找到这两个变量文件,修改对应的密码,重启harbor,让程序重新读取变量即可。
接下来开始处理redis弱口令问题,harbor涉及链接到redis的组件有core、jobservice、registry这三个组件,配置文件路径都在common/config目录下,修改顺序如下:
1、修改core的redis密码
core/env文件,123123就是你要设置的redis密码
2、修改 jobservice配置文件
3、修改registry配置文件
4、添加redis密码
先将harbor组件redis容器的redis.conf文件导到本地,修改如下配置:
然后再编辑docker-compase.yml文件,将本地redis.conf文件映射到容器里,如下:
重启
做完以上这些重启harbor即可,重启harbor后其中redis容器运行是正常的,其中状态栏显示(unhealthy),这是因为redis有个健康检查脚本,里面使用的命令是不使用密码进行检测的,可以忽略这个状态,然后测试harbor推拉镜像验证是否正常就行。