Мне удалось успешно сохранить изменения конфигурации nginx ModSecurity при повторных запусках команды launcher rebuild app следующим образом:
Сначала обновляем локальную копию скрипта install-nginx, который был получен из репозитория discourse_docker и клонирован в /var/discourse/.
cd /var/discourse/image/base
cp install-nginx install-nginx.`date "+%Y%m%d_%H%M%S"`.orig
# Добавляем блок для проверки модуля modsecurity nginx непосредственно перед загрузкой исходного кода nginx
grep 'ModSecurity' install-nginx || sed -i 's%\(curl.*nginx\.org/download.*\)%# mod_security\napt-get install -y libmodsecurity-dev modsecurity-crs\ncd /tmp\ngit clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git\n\n\1%' install-nginx
# Обновляем строку configure, чтобы включить модуль ModSecurity, проверенный выше
sed -i '/ModSecurity/! s%^[^#]*./configure \(.*nginx.*\)%#./configure \1\n./configure \1 --add-module=/tmp/ModSecurity-nginx%' install-nginx
# Добавляем строку в секцию очистки
grep 'rm -fr /tmp/ModSecurity-nginx' install-nginx || sed -i 's%\(rm -fr.*/tmp/nginx.*\)%rm -fr /tmp/ModSecurity-nginx\n\1%' install-nginx
Обратите внимание, что Dockerfile, отвечающий за выполнение скрипта install-nginx, выполняется при сборке образа. А образ собирается только командой Discourse перед загрузкой в Docker Hub. Когда выполняется команда Discourse ./launcher rebuild app, она запускает (если доступны обновления) docker pull, который загружает последний образ Docker Discourse из Docker Hub. Опять же, это не пересобирает образ, не выполняет Dockerfile и не выполняет изменённый выше скрипт install-nginx.
Единственный способ (о котором я знаю), чтобы запустить обновлённый bash-скрипт install-nginx (который выполняется Dockerfile), — заставить Docker собрать новый образ. Например, это заставляет Docker собрать новый образ с именем discourse_modsecurity, который будет собран с использованием локально изменённого скрипта install-nginx:
docker build --tag 'discourse_modsecurity' /var/discourse/image/base/
К сожалению, я не смог найти способ указать launcher использовать пользовательский образ (указание run-image использует указанный образ напрямую, без выполнения шаблонов против него — как необходимо для фактической конфигурации [а не просто установки] nginx). Поэтому мы заменяем переменную image, определённую в скрипте launcher, чтобы использовать наш новый локальный образ Docker с именем discourse_modsecurity.
# Заменяем строку "image="discourse/base:<version>" на 'image="discourse_modsecurity"'
grep 'discourse_modsecurity' launcher || sed --in-place=.`date "+%Y%m%d_%H%M%S"` '/base_image/! s%^\(\s*\)image=\(.*\)$%#\1image=\2\n\1image="discourse_modsecurity"%' /var/discourse/launcher
Теперь добавляем новый файл шаблона для настройки конфигураций nginx, чтобы включить необходимые файлы/блоки modsecurity.
cat << EOF > /var/discourse/templates/web.modsecurity.template.yml
run:
- exec:
cmd:
- sudo apt-get install -y modsecurity-crs
- cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
- sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /etc/modsecurity/modsecurity.conf
- sed -i 's^\(\s*\)[^#]*SecRequestBodyInMemoryLimit\(.*\)^\1#SecRequestBodyInMemoryLimit\2^' /etc/modsecurity/modsecurity.conf
- sed -i '/nginx/! s%^\(\s*\)[^#]*SecAuditLog \(.*\)%#\1SecAuditLog \2\n\1SecAuditLog /var/log/nginx/modsec_audit.log%' /etc/modsecurity/modsecurity.conf
- file:
path: /etc/nginx/conf.d/modsecurity.include
contents: |
################################################################################
# File: modsecurity.include
# Version: 0.1
# Purpose: Defines mod_security rules for the discourse vhost
# This should be included in the server{} blocks nginx vhosts.
# Author: Michael Altfield <michael@opensourceecology.org>
# Created: 2019-11-12
# Updated: 2019-11-12
################################################################################
Include "/etc/modsecurity/modsecurity.conf"
# OWASP Core Rule Set, installed from the 'modsecurity-crs' package in debian
Include /etc/modsecurity/crs/crs-setup.conf
Include /usr/share/modsecurity-crs/rules/*.conf
- replace:
filename: "/etc/nginx/conf.d/discourse.conf"
from: /server.+{/
to: |
server {
modsecurity on;
modsecurity_rules_file /etc/nginx/conf.d/modsecurity.include;
EOF
И добавляем этот шаблон (templates/web.modsecurity.template.yml) в блок templates yaml-файла конфигурации нашего приложения, чтобы он выглядел примерно так:
[root@osestaging1 discourse]# vim /var/discourse/containers/app.yml
...
[root@osestaging1 discourse]# grep -A 6 'templates:' /var/discourse/containers/app.yml
templates:
- "templates/postgres.template.yml"
- "templates/redis.template.yml"
- "templates/web.template.yml"
- "templates/web.ratelimited.template.yml"
- "templates/web.socketed.template.yml"
- "templates/web.modsecurity.template.yml"
[root@osestaging1 discourse]#
Теперь при пересборке приложения Discourse в Docker оно будет использовать ваш новый образ Docker discourse_modsecurity с nginx и modsecurity, а также настроит nginx для использования OWASP CRS.
/var/discourse/launcher rebuild app