Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证_docker远程接口未授权访问漏洞怎么解决(1)

最新推荐文章于 2024-08-04 18:34:53 发布
最新推荐文章于 2024-08-04 18:34:53 发布
阅读量395 收藏 8
点赞数 3
分类专栏: 程序员 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84967954/article/details/138750897
版权 
#!/bin/bash
# 
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------

# 以下是配置信息
# --[BEGIN]------------------------------

IP="10.10.1.1"
PASSWORD="123456"
COUNTRY="CN"
STATE="BEIJING"
CITY="BEIJING"
ORGANIZATION="test"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME="$IP"
EMAIL="test"

# --[END]--

# Generate CA key
openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key.pem" 4096
# Generate CA
openssl req -new -x509 -days 365 -key "ca-key.pem" -sha256 -out "ca.pem" -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL"
# Generate Server key
openssl genrsa -out "server-key.pem" 4096

# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key.pem" -out server.csr

echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "server-cert.pem" -extfile extfile.cnf


# Generate Client Certs.
rm -f extfile.cnf

openssl genrsa -out "key.pem" 4096
openssl req -subj '/CN=client' -new -key "key.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "cert.pem" -extfile extfile.cnf

rm -vf client.csr server.csr

chmod -v 0400 "ca-key.pem" "key.pem" "server-key.pem"
chmod -v 0444 "ca.pem" "server-cert.pem" "cert.pem"

# 打包客户端证书
mkdir -p "tls-client-certs"
cp -f "ca.pem" "cert.pem" "key.pem" "tls-client-certs/"
cd "tls-client-certs"
tar zcf "tls-client-certs.tar.gz" *
mv "tls-client-certs.tar.gz" ../
cd ..
rm -rf "tls-client-certs"

# 拷贝服务端证书
mkdir -p /etc/docker/certs.d
cp "ca.pem" "server-cert.pem" "server-key.pem" /etc/docker/certs.d/

执行以上脚本会在

服务端的证书生成在: /etc/docker/certs.d

客户端证书自动打包为 tls-client-certs.tar.gz

服务端证书生成后,添加到docker.service中

我的docker.service目录在/usr/lib/systemd/system/

执行linux命令:

vi /usr/lib/systemd/system/docker.service

在ExecStart中添加
–tlsverify --tlscacert=/etc/docker/certs.d/ca.pem --tlscert=/etc/docker/certs.d/server-cert.pem --tlskey=/etc/docker/certs.d/server-key.pem \

这个地方路径不要错了,否者docker.service 启动不了

如图:

上面文件编辑保存后执行,以下命令重载配置重启服务:

systemctl daemon-reload
service docker restart

至此:docker API添加了证书认证

再访问http://ip:2375/info 就返回错误了

客户端通过TLS访问docker API

将tls-client-certs.tar.gz文件发送到客户端,解压到/home目录

在客户端执行请求,参数携带客户端证书路径就可以返回容器信息了:

curl https://ip:2375/info --cert /home/cert.pem --key /home/key.pem --cacert /home/ca.pem

以上就是 Docker 开启TLS,使用生成的证书进行认证

另外记录一个java使用TLS调用docker远程api的方法:

    @Bean
    public DockerClient dockerClient() {
        //本机ip
        String localIp = "127.0.0.1";
        com.github.dockerjava.core.DockerClientConfig config = null;
        if (useTLS) {
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/d404bf79a93690d02152978646f77172.png)

![img](https://img-blog.csdnimg.cn/img_convert/33de8baa2a4af88043c975551f47eb3d.png)

![img](https://img-blog.csdnimg.cn/img_convert/7a1aa55b7ad4dfa4f6512e41456b9fd6.png)

![img](https://img-blog.csdnimg.cn/img_convert/aabeec4b1307cd667121b62ee098fb45.png)

![img](https://img-blog.csdnimg.cn/img_convert/252440e6fe4cfad6a025e4b8c5a6055d.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84967954
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞挖掘】——94、Docker授权访问
Fly_鹏程万里
06-17 101
Docker是一种开源的容器化平台,用于构建、打包和运行应用程序及其依赖项,它通过使用容器来实现应用程序的轻量级隔离,使得应用程序可以在不同的环境中以一致的方式运行,Docker广泛应用于软件开发、持续集成/持续交付(CI/CD)、微服务架构、大规模部署和云计算等领域,它简化了应用程序的构建、交付。Docker Remote API是一个取代远程命令行界面(RCLI)的REST API,当该接口直接暴漏在外网环境中且作权限检查时,攻击者可以通过恶意调用相关的API实现远程命令执行。
web渗透测试漏洞复现:docker API授权漏洞复现并getshell
HACKONE的博客
03-28 315
总结一句话:该命令的作用是在IP为192.168.1.106的远程Docker守护进程上,基于镜像ID为2dc39ba059dc的镜像启动一个新的交互式容器,并挂载主机的根目录到容器内的/mnt目录,然后在新容器中打开一个Bash shell。由于Docker API提供了丰富的功能,它不仅为Docker CLI(命令行界面)提供底层支持,也被许多其他工具和平台广泛采用,如Kubernetes、Docker Compose等,实现了对Docker容器的自动化管理和大规模部署。
DOCKER REMeOTE API 授权访问漏洞复现
weixin_43061533的博客
12-01 734
0x01 漏洞简述 Docker Remote API是一个取代远程命令行界面(rcli)的REST API。本文中,我们将使用命令行工具cURL来处理url相关操作。cURL可以发送请求、获取以及发送数据、检索信息。 0x02 风险等级 严漏洞的评定结果如下: 评定方式 等级 威胁等级 严重 影响面 广泛 0x03 漏洞详情 Dockerdocker.service设置为0.0.0.0/lib/systemd/system/docker.service,导致任意访问 Docker没有使用iptables
Docker远程接口授权访问漏洞解决方案Docker Remote API TLS 认证
myJavaHe的博客
03-15 2337
Docker远程接口授权访问漏洞解决方案Docker Remote API TLS 认证
Docker授权访问漏洞详解
m0_64481831的博客
06-11 1381
Docker是一个开源的引擎,可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器
关于docker remote api授权访问漏洞的学习与研究
07-16 628
漏洞介绍: 该授权访问漏洞是因为docker remote api可以执行docker命令,从官方文档可以看出,该接口是目的是取代docker 命令界面,通过url操作dockerdocker swarm是docker下的分布化应用的本地集群,在开放2375监听集群容器时,会调用这个api url输入ip:2375/version就会列出基本信息,和docker vers...
Docker Remote API 授权访问漏洞
最新发布
weixin_53736204的博客
08-04 275
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展,由docker官方提供。
docker remote api授权访问_【超详细】Redis 授权访问漏洞
weixin_39747568的博客
11-26 316
0x01 漏洞描述  Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。攻击者在授权访问 Redis 的情况下,利用...
Docker开启远程安全访问的图文教程详解
09-29
Docker开启远程安全访问教程】 Docker 是一个流行的开源容器化平台,它允许开发者打包应用和服务,并在任何地方运行。然而,默认情况下,Docker守护进程仅监听本地接口,不允许远程访问。本教程将详细解释如何...
Centos Docker1.12 远程Rest api访问的配置方法
09-30
在CentOS 7中,Docker 1.12版本,可以通过配置开启远程REST API访问来实现这一功能。下面将详细介绍如何配置CentOS Docker 1.12以允许远程REST API访问。 首先,Docker默认使用Unix套接字(socket)与守护进程通信...
经典版imanager解决Docker Remote Api授权漏洞
wutaotao2015的博客
11-16 651
经典版imanager解决Docker Remote Api授权漏洞 超图集团自研产品imanager推出和交付客户使用已有多年时间,在多个大中型项目中都有使用。目前的系列共有2个,一个是较早的基于docker容器化技术开发的经典版imanager, 也称为docker版 imanager; 另一个就是基于kubernetes架构开发的k8s版imanager。今天我们要讨论的是针对经典版imanager在项目使用过程中,因安全扫描会报出来的其中一个漏洞解决方案。 生成docker证书 具体步骤见doc
授权访问Docker授权访问漏洞
qq_68163788的博客
05-14 2346
Docker 是一个开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署包括 VMs、bare metal、OpenStack 集群和其他的基础应用平台DockerDocker Remote API 是一个取代远程命令行界面(rcli)的REST API。 存在问题的版本分别为 1.3 和 1.6因为权限控制等问题导致可以通过 docker client 或者 http 直接请求就可以访问这个 API
Docker Remote API授权访问
lyink001的博客
12-16 1348
docker remote api获取服务器权限
Docker_remote_api授权访问漏洞
weixin_46564680的博客
10-13 2155
Docker_remote_api授权访问漏洞 docker_remote_api简介: docker remote api主要的目的是取代命令行界面, docker client和docker daemon通过unix domain socket进行通信. 默认情况下,只有本机的root和docker组用户才能操作docker. 漏洞成因: dockerd -H unix:///var/run/docker. sock -H 0.0. 0.0:2375 docker守护进程监听在0.0.0.0,外网可
漏洞——Docker远程api授权访问(原理扫描)
龍承leo
10-24 849
Docker远程api授权访问(原理扫描)
Docker Remote Api授权访问漏洞
Seth为理想奋斗
06-17 3086
一. 漏洞原因 dockerd -H unix:///var/run/docker.sock -H 0.0.0.0:2375 docker守护进程监听在0.0.0.0,外网可访问 3, 没有使用iptables等限制可连接的来源ip二. 漏洞利用1.远程对被攻击的主机的docker容器进行操作docker -H tcp://remoteip:2375 images 远程启动被攻击主机的docker
Docker Remote API授权访问漏洞分析和利用
热门推荐
3569
12-01 1万+
0x00 概述 最近提交了一些关于 docker remote api 授权访问导致代码泄露、获取服务器root权限的漏洞,造成的影响都比较严重,比如 新姿势之获取果壳全站代码和多台机器root权限 新姿势之控制蜻蜓fm所有服务器 新姿势之获取百度机器root权限 因为之前关注这一块的人并不多,这个方法可以算是一个“新的姿势”,本文对漏洞产生的原因和利用过程进行
Docker Remote API 漏洞分析:无授权访问风险
"Docker Remote API 授权漏洞全球探测1" Docker 是一个广泛应用的开源容器引擎,它采用Go语言编写,并遵循Apache 2.0许可证。Docker的主要功能是允许开发者将应用程序及其依赖打包到轻量级、可移植的容器中,这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值