我有一些服务器被标记为允许不安全的 TLS/SSL 密码套件等用于 HTTPS。我需要纠正它。但是,它们上的 Web 服务器是从 Docker/Kubernetes 容器运行的,我似乎找不到 TLS 配置的定义位置。以下是我迄今为止的过程:
- 我运行了“sudo netstat -tulpn | grep 443”来查看哪些进程正在监听该端口。根据 Linux,没有进程在监听 443。但我可以以 HTTPS 方式查看网站,所以这不可能是正确的。
- 我运行了“kubectl get svc --all-namespaces -o go-template='{{range .items}}{{range.spec.ports}}{{if .nodePort}}{{.nodePort}}{{.}}{{"\n"}}{{end}}{{end}}{{end}}'”
这是我从另一个 serverfault 问题中得到的。结果包括:
30573map[name:websecure nodePort:30573 port:443 protocol:TCP targetPort:websecure]
我听说 websecure 是 Traefik 的 HTTPS 流量入口点。所以我不得不假设 Traefik 实际上是在处理这种流量。 - 我运行了“kubectl get pods --all-namespaces”来查看 Traefik 在哪个 pod 中运行。有大量不相关的 pod,我得到了 15 个不同的结果,例如:“kube-system svclb-traefik-c89bf034-5c9nz 2/2 正在运行 12 (17 天前) 187 天”(末尾有不同的随机段),再往下的结果为:“kube-system traefik-869787b8bc-nfqmt 1/1 正在运行 6 (17 天前) 186 天”。目前,我不确定这些 traefik pod 中的哪一个是运行 websecure 的,或者它们是否都在以某种方式处理它。此外,我读到 TLS 设置位于 Traefik 的动态配置中,并且动态配置是从“提供程序”加载的,该提供程序可以是文件、网站或其他来源。但我不知道在这些服务器中该在哪里指定。我尝试寻找诸如 docker-compose.yml 文件或 traefik.toml 文件之类的东西,但运气不佳,没有找到任何定义允许的 TLS 密码或似乎指向允许的配置的文件。
所以我的问题是,如何找到在 Kubernetes 容器中运行的 Traefik 的 TLS 设置,以停止允许弱密码套件?提前感谢您的帮助,对于此问题的任何格式问题,我们深表歉意……这是我在这个网站上的第一个问题!