nsheridan/cashier Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
nsheridan/cashier自动构建
nsheridan
Cashier是一个SSH证书颁发机构(CA),支持通过证书进行SSH认证,提供证书签名、权限管理、有效期控制及吊销功能,无需将密钥分发到每台机器,仅需服务器信任签名密钥,简化SSH访问管理并增强安全性。
1 次收藏下载次数: 0状态:自动构建维护者:nsheridan仓库类型:镜像最近更新:10 个月前
Cashier
镜像概述和主要用途
Cashier是一个SSH证书颁发机构(CA),用于管理OpenSSH证书认证。OpenSSH支持使用SSH证书进行身份验证,证书包含公钥、身份信息并由标准SSH密钥签名。与普通SSH密钥相比,证书可包含更多信息(允许使用的用户、有效期、权限等),且无需分发到每台机器(仅需服务器信任签名密钥),支持吊销,适用于集中化管理SSH访问的场景。
核心功能和特性
- 证书管理:支持SSH证书的签名、颁发与吊销,记录证书信息用于审计。
- 身份验证集成:通过OAuth providers(Google、GitHub、GitLab等)验证用户身份。
- 灵活的配置存储:支持多种文件路径类型(本地文件、AWS S3、Google GCS、Vault)存储关键配置(如签名密钥、TLS证书)。
- 权限与有效期控制:可指定证书允许的操作(如
permit-pty)、最大有效期,确保访问权限可控。 - 跨平台支持:兼容macOS和Linux,客户端需OpenSSH 5.6+及运行中的SSH agent。
使用场景和适用范围
- 企业服务器集群:集中管理多台服务器的SSH访问,避免密钥分发到每台机器。
- 生产环境访问控制:通过证书有效期和权限限制,控制临时或长期访问权限。
- 主机密钥认证:为机器颁发签名主机证书,客户端无需手动确认"yes"即可验证主机身份。
- 审计与合规:记录所有颁发的证书,支持吊销功能,满足安全审计需求。
详细配置说明
基础要求
- 服务端:Go 1.10+
- 客户端:Go 1.10+、OpenSSH 5.6+、运行中的SSH agent(GPG agent不支持证书)
配置项说明
配置分为server、auth、ssh、aws、vault等部分,支持HCL格式。
文件路径说明
以下配置项的文件路径支持多种类型(除http_logfile仅支持本地文件):
- 本地路径(绝对/相对):如
/data/ssh_signing_key、tls/server.key - AWS S3路径:以
/s3/开头,如/s3/my-bucket/ssh_signing_key(需配置aws) - Google GCS路径:以
/gcs/开头,如/gcs/my-bucket/ssh_signing_key - Vault路径:以
/vault/开头,如/vault/secret/cashier/ssh_signing_key(需配置vault)
server配置
控制服务端基础行为,包括TLS、数据库、监听地址等。
| 参数 | 类型 | 说明 |
|---|---|---|
use_tls | bool | 是否启用TLS,启用时需配置tls_key+tls_cert或letsencrypt_servername |
tls_key | string | TLS私钥路径 |
tls_cert | string | TLS证书路径 |
letsencrypt_servername | string | Let's Encrypt证书的FQDN |
address | string | 监听IP地址(默认监听所有地址) |
port | int | 监听端口 |
user | string | 服务降级的用户(注意:Go运行时限制可能导致部分线程保留权限) |
cookie_secret | string | 会话cookie的认证密钥(可存储于Vault,格式/vault/path/key) |
csrf_secret | string | CSRF保护的认证密钥(可存储于Vault) |
http_logfile | string | HTTP请求日志路径(仅支持本地文件) |
require_reason | bool | 是否要求客户端提供申请证书的原因(默认false) |
database | object | 数据库配置(用于记录证书信息) |
database配置示例(支持mysql、sqlite、mem类型):
hclserver { database { type = "mysql" address = "my-db-host.corp" username = "user" password = "passwd" # 可存储于Vault:/vault/secret/cashier/mysql_password dbname = "cashier_production" } database { type = "sqlite" filename = "/data/cashier.db" # 本地SQLite文件路径 } }
auth配置
配置用户身份验证(OAuth)。
| 参数 | 类型 | 说明 |
|---|---|---|
provider | string | OAuth提供商(支持"google"、"github"、"gitlab"等) |
oauth_client_id | string | OAuth客户端ID(可存储于Vault) |
oauth_client_secret | string | OAuth客户端密钥(可存储于Vault) |
oauth_callback_url | string | OAuth回调URL(路径固定为/auth/callback) |
users_whitelist | array | 允许访问的用户白名单(未设置则允许所有域/组织用户) |
provider_opts | object | 提供商特定选项(如GitHub的organization、Google的domain) |
provider_opts示例:
hclauth { provider = "google" provider_opts { domain = "example.com" # 仅允许example.com域用户 } } auth { provider = "github" provider_opts { organization = "my-org" # 仅允许my-org组织成员 } }
ssh配置
控制SSH证书的签名规则。
| 参数 | 类型 | 说明 |
|---|---|---|
signing_key | string | SSH证书签名私钥路径(使用ssh-keygen生成,需安全存储) |
additional_principals | array | 额外添加到证书的主体(默认仅包含请求者***的用户名部分) |
max_age | string | 证书最大有效期(Go time.Duration格式,如24h) |
permissions | array | 证书允许的操作(参考ssh-keygen -O选项,如["permit-pty", "permit-port-forwarding"]) |
aws配置(可选)
用于访问存储在AWS S3的文件(如签名密钥),支持通过IAM角色或环境变量配置。
| 参数 | 类型 | 说明 |
|---|---|---|
region | string | S3存储桶所在区域(如us-east-1) |
access_key | string | AWS访问密钥ID(可存储于Vault) |
secret_key | string | AWS密钥(可存储于Vault) |
vault配置(可选)
用于访问Vault中的密钥(如签名密钥、OAuth密钥)。
| 参数 | 类型 | 说明 |
|---|---|---|
address | string | Vault服务器URL |
token | string | Vault认证令牌 |
使用方法
服务端部署(Docker)
bash# 运行Cashier容器,映射端口***,挂载当前目录作为配置目录 docker run -it --rm -p ***:*** --name cashier -v ${PWD}:/cashier nsheridan/cashier
客户端使用
-
配置客户端:创建
~/.cashier.conf(HCL格式)或使用命令行参数:hclca = "[***]" # CA服务器地址 key_type = "ed25519" # 密钥类型(rsa/ecdsa/ed25519) validity = "24h" # 证书有效期 -
获取证书:
bashcashier --config ~/.cashier.conf # 启动客户端,自动打开浏览器进行OAuth认证- 浏览器中完成认证后,复制CA返回的token并粘贴到客户端终端。
- 客户端生成密钥对,将公钥发送至CA签名,获取证书后加载到SSH agent。
服务器配置(sshd_config)
-
信任CA公钥:将CA签名公钥(
ssh_ca.pub)添加到sshd_config:confTrustedUserCAKeys /etc/ssh/ca.pub # 信任CA签名公钥 -
启用证书吊销(可选):
confRevokedKeys /etc/ssh/revoked_keys # 证书吊销列表路径- 通过定时任务更新吊销列表:
bash
*/10 * * * * curl -s -o /etc/ssh/revoked_keys [***]
- 通过定时任务更新吊销列表:
证书吊销
- 在CA管理界面(
https://<ca url>/admin/certs)查看已颁发证书,选择需吊销的证书并执行吊销。 - 吊销后,证书将被添加到吊销列表,服务器通过
RevokedKeys配置拒绝该证书访问。
未来工作
- 支持主机证书(当前仅支持用户证书)。
贡献
欢迎提交PR,依赖项通过govendor管理。详情参考项目GitHub页面。
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"