コンテナ間通信HTTPS化

[ak0327]

TODO

• [x] django - postgresql間通信のSSL化 6faf892
• [x] django - nginx間通信のSSL化 921d359
• [x] #295 0af458f
• [x] test修正（django test時のAPIはhttpを許容） 8491b0f

評価方法memo

PostgreSQLコンテナのパスワード暗号化設定

• scram-sha-256の設定を確認: SHOW password_encryption;

  docker exec -it postgres psql -d ft_trans_db -U postgres_user -c "SHOW password_encryption;"
  Password for user postgres_user: 
  password_encryption 
  ---------------------
  scram-sha-256
  (1 row)

PostgreSQLコンテナのSSL

• docker exec -it postgres bashでコンテナに入り、ログでSSL設定を確認 cat /var/lib/postgresql/data/log/postgresql.log | grep SSL

  root@a8b94e3c3148:/# cat /var/lib/postgresql/data/log/postgresql.log | grep SSL
  2024-06-19 07:23:15.352 UTC [44] LOG:  connection authorized: user=postgres_user 
  database=ft_trans_db SSL enabled (protocol=TLSv1.3, cipher=TLS_AES_256_GCM_SHA384, 
  bits=256)

• tcpdumpでも可（下述）

Django-Nginx間のSSL

• tcpdumpでネットワーク通信をキャプチャしnginx, djangoの通信がsslであるか評価 -> TLSv1.3で通信

  # install
  apt-get update && apt-get install -y net-tools tcpdump tshark
  
  # djangoコンテナでnginxコンテナとの通信をキャプチャ（ブラウザで/app/にアクセスすると229パケットの通信が発生）
  root@8dded41abd23:/code# tcpdump -i eth1 host nginx -w /tmp/django_to_nginx.pcap
  tcpdump: listening on eth1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
  ^C229 packets captured
  229 packets received by filter
  0 packets dropped by kernel
  
  root@8dded41abd23:/code# tshark -r /tmp/django_to_nginx.pcap -Y "ssl"
  Running as user "root" and group "root". This could be dangerous.
  8   1.279433   172.26.0.4 → 172.26.0.3   TLSv1 630 Client Hello
  10   1.279977   172.26.0.3 → 172.26.0.4   TLSv1.3 165 Hello Retry Request, Change Cipher Spec
  12   1.280455   172.26.0.4 → 172.26.0.3   TLSv1.3 669 Change Cipher Spec, Client Hello
  14   1.281027   172.26.0.3 → 172.26.0.4   TLSv1.3 334 Server Hello, Application Da
   ... (略)

• wsのバックエンド通信がhttpsになっていることの確認

  # port 8003を選択的にキャプチャ
  tcpdump -i eth1 port 8003 -w /tmp/port8003_traffic.pcap
  tcpdump: listening on eth1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
  ^C35 packets captured
  35 packets received by filter
  0 packets dropped by kernel
  
  root@6072328321de:/code# tshark -r /tmp/port8003_traffic.pcap -Y "ssl"
  Running as user "root" and group "root". This could be dangerous.
    1   0.000000   172.31.0.2 → 172.31.0.3   TLSv1.2 102 Application Data
    2   0.001968   172.31.0.3 → 172.31.0.2   TLSv1.2 106 Application Data
    4   3.249332   172.31.0.3 → 172.31.0.2   TLSv1.2 94 Application Data
   ... (略)

Ref

• [1] PostgreSQL 15.4文書 21.5. パスワード認証
• [2] uWSGI 2.0ドキュメント HTTPSサポート
• [3] Flask を HTTPS 化する 2.2. uWSGI 普通に pip install すると https が使えません

[ak0327]

たぶんdjango-nginx間もSSL化も完了しました。ネットワークパケット評価しSSL通信であることも確認済みです。 休憩し、再確認 & いじった設定のリファクタリングします

uwsgi.iniでhttps設定してもhttps化しなかったり、うまく立ち上がらずハマっていましたが、 pip install uwsgiでインストールされるデフォルトのuwsgiはssl非対応だった...というオチでした

[uminomae]

pip install uwsgiでインストールされるデフォルトのuwsgiはssl非対応だった...というオチでした

いまいちソケットのことがわかってないということがわかるのが、uwsgiはSSLできるのか？ですね。