Les images Docker de Discourse ne sont pas signées

Soutien Installation
1

Bonjour,

J’essaie actuellement de configurer Discourse sur une nouvelle machine. J’ai cloné le dépôt discourse_docker et exécuté ./launcher rebuild app. (J’ai sauté l’amorçage car je disposais déjà de configurations antérieures).

La reconstruction a produit la sortie suivante :

WARNING: We are about to start downloading the Discourse base image
This process may take anywhere between a few minutes to an hour, depending on your network speed

Please be patient

ERRO[0001] Metadata for targets expired
ERRO[0002] Metadata for targets expired
/usr/bin/docker: Error: remote repository docker.io/discourse/base out-of-date: targets expired at Mon Nov 18 12:52:09 -0500 2019.
See '/usr/bin/docker run --help'.
Your Docker installation is not working correctly

See: https://meta.discourse.org/t/docker-error-on-bootstrap/13657/18?u=sam

Pour remonter à la racine du problème, j’ai vérifié la commande exécutée et l’ai lancée en mode débogage :

/usr/bin/docker --debug run -i --rm -a stdout -a stderr discourse/base:2.0.20191219-2109 echo working

Voir : discourse_docker/launcher at 1b3dd3a41b544592be46b39db563bb757f88bbad · discourse/discourse_docker · GitHub

La sortie de la commande : 
DEBU[0000] reading certificate directory: /root/.docker/tls/notary.docker.io
DEBU[0000] No yubikey found, using alternative key storage: no library found
DEBU[0000] Making dir path: /root/.docker/trust/tuf/docker.io/discourse/base/changelist
DEBU[0000] entered ValidateRoot with dns: docker.io/discourse/base
DEBU[0000] found the following root keys: [5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8]
DEBU[0000] found 1 valid leaf certificates for docker.io/discourse/base: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0000] found 1 leaf certs, of which 1 are valid leaf certs for docker.io/discourse/base
DEBU[0000] checking root against trust_pinning config for docker.io/discourse/base
DEBU[0000] checking trust-pinning for cert: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0000]  role has key IDs: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0000] verifying signature for key ID: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0000] root validation succeeded for docker.io/discourse/base
DEBU[0000] entered ValidateRoot with dns: docker.io/discourse/base
DEBU[0000] found the following root keys: [5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8]
DEBU[0000] found 1 valid leaf certificates for docker.io/discourse/base: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0000] found 1 leaf certs, of which 1 are valid leaf certs for docker.io/discourse/base
DEBU[0000] checking root against trust_pinning config for docker.io/discourse/base
DEBU[0000] checking trust-pinning for cert: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0000]  role has key IDs: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0000] verifying signature for key ID: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0000] root validation succeeded for docker.io/discourse/base
DEBU[0000] updating TUF client
DEBU[0000] Loading timestamp...
DEBU[0001] 200 when retrieving metadata for timestamp
DEBU[0001] timestamp role has key IDs: db679e1f17a2a2bdd9952b6f37c9048635611f162bc6a0957ec30fbb1412d366
DEBU[0001] verifying signature for key ID: db679e1f17a2a2bdd9952b6f37c9048635611f162bc6a0957ec30fbb1412d366
DEBU[0001] timestamp role has key IDs: db679e1f17a2a2bdd9952b6f37c9048635611f162bc6a0957ec30fbb1412d366
DEBU[0001] verifying signature for key ID: db679e1f17a2a2bdd9952b6f37c9048635611f162bc6a0957ec30fbb1412d366
DEBU[0001] successfully verified downloaded timestamp
DEBU[0001] Loading snapshot...
DEBU[0001] snapshot role has key IDs: e88a99d5b23301178976a4a103df4716f7943301d9972db0541bfa17c94cb75b
DEBU[0001] verifying signature for key ID: e88a99d5b23301178976a4a103df4716f7943301d9972db0541bfa17c94cb75b
DEBU[0001] successfully verified cached snapshot
DEBU[0001] Loading targets...
DEBU[0001] no targets in cache, must download
DEBU[0001] 200 when retrieving metadata for targets.09b50021560effa664eb8271cd16e2212ed55b7b63b2127cf9a0e69cfe2b47b7
DEBU[0001] targets role has key IDs: c016860a9293a48bc98f27b9c36d81515f4bcc3dd2ec93bb2d6d8af8f37a39d2
DEBU[0001] verifying signature for key ID: c016860a9293a48bc98f27b9c36d81515f4bcc3dd2ec93bb2d6d8af8f37a39d2
ERRO[0001] Metadata for targets expired
DEBU[0001] downloaded targets.09b50021560effa664eb8271cd16e2212ed55b7b63b2127cf9a0e69cfe2b47b7 is invalid: targets expired at Mon Nov 18 12:52:09 -0500 2019
DEBU[0001] Client Update (Targets): targets expired at Mon Nov 18 12:52:09 -0500 2019
DEBU[0001] Error occurred. Root will be downloaded and another update attempted
DEBU[0001] Resetting the TUF builder...
DEBU[0001] entered ValidateRoot with dns: docker.io/discourse/base
DEBU[0001] found the following root keys: [5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8]
DEBU[0001] found 1 valid leaf certificates for docker.io/discourse/base: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0001] found 1 leaf certs, of which 1 are valid leaf certs for docker.io/discourse/base
DEBU[0001] found the following root keys: [5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8]
DEBU[0001] found 1 valid leaf certificates for docker.io/discourse/base: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0001] found 1 valid root leaf certificates for docker.io/discourse/base: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0001]  role has key IDs: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0001] verifying signature for key ID: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0001] checking root against trust_pinning config for docker.io/discourse/base
DEBU[0001] checking trust-pinning for cert: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0001]  role has key IDs: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0001] verifying signature for key ID: 5f5ba22b20768b8f2d49e9035400a1922ae761aa70b5bb0d930fe91dd06bd5d8
DEBU[0001] root validation succeeded for docker.io/discourse/base
DEBU[0001] successfully verified cached root
DEBU[0001] retrying TUF client update
DEBU[0001] Loading timestamp...
DEBU[0002] 200 when retrieving metadata for timestamp
DEBU[0002] timestamp role has key IDs: db679e1f17a2a2bdd9952b6f37c9048635611f162bc6a0957ec30fbb1412d366
DEBU[0002] verifying signature for key ID: db679e1f17a2a2bdd9952b6f37c9048635611f162bc6a0957ec30fbb1412d366
DEBU[0002] successfully verified downloaded timestamp
DEBU[0002] Loading snapshot...
DEBU[0002] snapshot role has key IDs: e88a99d5b23301178976a4a103df4716f7943301d9972db0541bfa17c94cb75b
DEBU[0002] verifying signature for key ID: e88a99d5b23301178976a4a103df4716f7943301d9972db0541bfa17c94cb75b
DEBU[0002] successfully verified cached snapshot
DEBU[0002] Loading targets...
DEBU[0002] no targets in cache, must download
DEBU[0002] 200 when retrieving metadata for targets.09b50021560effa664eb8271cd16e2212ed55b7b63b2127cf9a0e69cfe2b47b7
DEBU[0002] targets role has key IDs: c016860a9293a48bc98f27b9c36d81515f4bcc3dd2ec93bb2d6d8af8f37a39d2
DEBU[0002] verifying signature for key ID: c016860a9293a48bc98f27b9c36d81515f4bcc3dd2ec93bb2d6d8af8f37a39d2
ERRO[0002] Metadata for targets expired
DEBU[0002] downloaded targets.09b50021560effa664eb8271cd16e2212ed55b7b63b2127cf9a0e69cfe2b47b7 is invalid: targets expired at Mon Nov 18 12:52:09 -0500 2019
DEBU[0002] Client Update (Targets): targets expired at Mon Nov 18 12:52:09 -0500 2019
/usr/bin/docker: Error: remote repository docker.io/discourse/base out-of-date: targets expired at Mon Nov 18 12:52:09 -0500 2019.
See '/usr/bin/docker run --help'.

Je ne sais pas pourquoi cela se produit. J’ai vérifié l’historique git et suis revenu à l’image de base précédemment utilisée pour voir si cela fonctionnait. Le résultat était le même.

Voir : Bump base image · discourse/discourse_docker@1b3dd3a · GitHub

Toute aide serait la bienvenue :slight_smile:

Mise à jour #1

J’ai créé un post sur le forum Docker pour discuter de ce problème, comme suggéré par @Falco.

2

Pouvez-vous mettre à jour Docker vers la dernière version disponible pour votre système d’exploitation et réessayer ?

3

Merci pour votre réponse @Falco.

Je utilise la dernière version de Docker :

Docker version 19.03.5, build 633a0ea838

Voir : Docker Engine version 29 release notes | Docker Docs

Désolé de ne pas l’avoir mentionné avant :roll_eyes:

4

Donc un simple

docker pull discourse/base:2.0.20191219-2109

échoue ?

5

Oui. Cette commande échoue de la même manière que décrit dans mon message initial :

ERRO[0001] Metadata for targets expired
ERRO[0002] Metadata for targets expired
Error: remote repository docker.io/discourse/base out-of-date: targets expired at Mon Nov 18 12:52:09 -0500 2019
6

C’est très étrange. Votre horloge serveur est-elle correcte ? Avez-vous des problèmes de cache, de pare-feu ou autre chose de bizarre ?

7

@Falco Mon horloge semble être synchronisée :

$ timedatectl status

                      Heure locale : Ven 2019-12-27 19:57:48 CET
                  Heure universelle : Ven 2019-12-27 18:57:48 UTC
                        Heure RTC : Ven 2019-12-27 18:57:49
                       Fuseau horaire : Europe/Berlin (CET, +0100)
       Horloge système synchronisée : oui
service systemd-timesyncd actif : oui
                 RTC dans le fuseau local : non

J’utilise Ubuntu 18.04 LTS.

8

Je tiens également à préciser que les autres conteneurs fonctionnent parfaitement. Il semble donc que cela soit lié, d’une manière ou d’une autre, à l’image Discourse.

9

Eh bien, je peux exécuter docker pull discourse/base:2.0.20191219-2109 sans problème, sur de nombreux systèmes d’exploitation, chez différents fournisseurs de cloud et sur différents continents. Je dirais donc que cela est spécifique à votre ordinateur local ou à votre installation Docker.

Puisque cela provient du service docker, essayez de demander de l’aide sur https://forums.docker.com/

10

Je le ferai, @Falco. Merci pour votre aide jusqu’à présent :slight_smile:

11

@Falco J’ai publié un message sur les forums Docker et j’ai reçu une réponse.

Le problème est lié à DOCKER_CONTENT_TRUST=1.

Pour reproduire ce problème, vous pouvez exécuter les commandes suivantes :

$ export DOCKER_CONTENT_TRUST=1
$ docker pull discourse/base:2.0.20191219-2109
12

Ah, je vois. Pourquoi avez-vous activé ce drapeau sur votre machine locale ? Il n’est pas activé par défaut dans Ubuntu.

13

Je configure un serveur sur Internet. Il ne s’agit pas de ma machine locale. Le serveur est censé être « durci », et c’est pourquoi cette option est activée.

14

Ce n’est pas activé par défaut sur Ubuntu Server non plus.

15

C’est exact @Falco. Je l’ai activé. Pour autant que je sache, les images Discourse ne sont soit pas correctement signées, soit pas signées du tout (je suis en train d’enquêter).

Dans tous les cas, il serait souhaitable d’avoir des images/tags signés. Je peux imaginer que je ne suis pas le seul à utiliser DCT.

Cela fait partie des outils d’audit comme Docker Bench Security (voir ci-dessous) :

4.5  - Assurez-vous que la confiance du contenu pour Docker est activée

Pour l’instant, je peux le désactiver, mais ce serait génial d’obtenir une image/tag signée pour les images Discourse aussi :slight_smile:

16

Dois-je créer une demande de fonctionnalité pour que nous puissions clôturer ce problème ?

17

Pour l’instant, vous sortez des instructions pour une installation recommandée, cette méthode sera donc signalée comme non prise en charge afin que d’autres ne commettent pas la même erreur.