docker-----TLS加密通讯详解（理论加案例）

前言

一、Docker 存在的安全问题

1、Docker 自身漏洞
作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。
黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快，Docker 用户最好将 Docker 升级为最新版本。

2、Docker 源码问题
Docker 提供了 Docker hub，可以让用户上传创建的镜像，以便其他用户下载，快速搭建环境。但同时也带来了一些安全问题。例如下面三种方式

黑客上传恶意镜像
如果有黑客在制作的镜像中植入木马、后门等恶意软件，那么环境从一开始就已经不安全了，后续更没有什么安全可言。
镜像使用在有漏洞的软件
Docker hub 上能下载的镜像里面，75%的镜像都安装了有漏洞的软件。所以下载镜像后，需要检查里面软件的版本信息，对应的版本是否存在漏洞，并及时更新打上补丁。
中间人攻击篡改镜像
镜像在传输过程中可能被篡改，目前现版本的 Docker 已经提供了相应的校验机制类预防这个问题。

3、Docker 架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题，例如这样一种攻击场景，黑客已经控制了宿主机上的一些容器，或者获得了通过在公有云上建立容器的方式，然后对宿主机或其他容器发动攻击。

容器之间的局域网攻击
主机上的容器之间可以构成局域网，因此对局域网的 ARP 欺骗、嗅探、广播风暴等攻击方式便可以用上。
所以，在一个主机上部署多个容器需要合理的配置网络，设置 iptable 规则。

DDoS 攻击耗尽资源
Cgroups 安全机制就是要防止此类攻击的，不要为单一的容器分配过多的资源，即可避免此类问题

有漏洞的系统调用
Docker 与虚拟机的一个重要的区别就是 Docker 与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞，尽管 Docker 使用普通用户执行，在容器被入侵时，攻击者还可以利用内核漏洞跳到宿主机做更多的事情。

共享 root 用户权限
如果以 root 用户权限运行容器，容器内的 root 用户也就拥有了宿主机 root 权限

二、TLS加密通讯协议

1、TLS介绍
TLS （Transport Layer Security）指传输层安全，是解决网络安全的重量级武器。传输层安全最早由网景公司所开发，那时的名字还不叫TLS，而是SSL（Secure Sockets Layer），即安全套接字层。
TLS 加密通讯：
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击，C/S 两端应该通过加密方式通讯。

2、CA证书
证书颁发机构（CA, Certificate Authority）即颁发数字证书的机构。是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

CA 证书颁发的时候，证书中是包含密钥对的，同时用户信息也是进行加密的，所以CA颁发的证书具有两个特点：用户发送的信息都是加密的；身份的唯一性。

三、配置TLS安全加密

1、实验环境准备

两台服务器
一台作为master节点（192.168.100.3）
一台作为client客户端（192.168.100.4）
前提是两台虚拟机都要装好docker的环境。

1.1 修改hosts
master服务器操作

添加本地解析
vi /etc/hosts
127.0.0.1 master
测试

[root@master opt]# ping master
PING master (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.026 ms

client 服务器操作
添加本地解析

[root@client ~]# vi /etc/hosts
192.168.100.3 master

测试

[root@client ~]# ping master
PING master (192.168.100.3) 56(84) bytes of data.
64 bytes from master (192.168.100.3): icmp_seq=1 ttl=64 time=1.79 ms

2、创建CA根证书RSA私钥

[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096

aes：表示一个对称加密的一种形式
out：表示输出

.pem：表示一个证书
Generating RSA private key, 4096 bit long modulus
…++
…++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: //输入密码
Verifying - Enter pass phrase for ca-key.pem: //在此输入密码

3、创建ca证书

[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

req                        //签名

-new -x509 //使用国际标准x509
-days 1000 //证书有效期
-key ca-key.pem //指定证书名字
-sha256 // 指定哈希256位加密算法
-out ca.pem //输出证书 名字ca.pam
-subj “/CN=*” // 项目名称
Enter pass phrase for ca-key.pem: //输入CA秘钥密码123123就是秘钥的密码

4、创建服务器私钥

[root@master tls]# openssl genrsa -out server-key.pem 4096

genrsa  //非对称秘钥  
-out      // 输出名字

Generating RSA private key, 4096 bit long modulus
…++
…++
e is 65537 (0x10001)

5、生成服务端证书

openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

req //签名
-subj “/CN=*” //项目名称
-sha256 //哈希256位加密算法
-new -key server-key.pem //指定服务器私钥文件名
-out server.csr //前名后为.csr文件

6、生成签名过的服务端证书

[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

x509 国际协议标准
-req 签名
-days 1000 -sha256 有效时间1000天 用哈希算法
-in server.csr 在服务器私钥
-CA ca.pem -CAkey ca-key.pem 指定ca秘钥和ca证书

Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem: //输入密码123123

7、生成客户私钥

[root@master tls]#  openssl genrsa -out key.pem 4096

Generating RSA private key, 4096 bit long modulus
…++
…++
e is 65537 (0x10001)

8、生成客户端证书签名

[root@master tls]# openssl req -subj "/CN=clinet" -new -key key.pem -out client.csr

9、生成名为extfile.cnf的配置文件

[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf

10、客户端签名证书

[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

Signature ok
subject=/CN=clinet
Getting CA Private Key
Enter pass phrase for ca-key.pem: //输入密码

11、删除多余文件

[root@master tls]# ls
ca-key.pem ca.srl client.csr key.pem server.csr
ca.pem cert.pem extfile.cnf server-cert.pem server-key.pem

[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr

[root@master tls]# ls
ca-key.pem ca.pem cert.pem key.pem server-cert.pem server-key.pem
[root@master tls]#

12、配置dockerservice配置文件

vim /lib/systemd/system/docker.service

14行 原来的注释掉 换成下面的
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

重启服务

[root@master tls]# systemctl daemon-reload
[root@master tls]# systemctl restart docker

13、将秘钥文件传到客户端

注意路径

scp ca.pem root@192.168.100.4:/etc/docker/       // ca证书
scp cert.pem root@192.168.100.4:/etc/docker/     //客户端签名证书
scp key.pem root@192.168.100.4:/etc/docker/      //客户端秘钥证书

14、client 客户端访问master验证

[root@client ~]# cd /etc/docker/ //这里要在绝对路径下

[root@client ~]# cd /etc/docker
[root@client docker]# ls
ca.pem cert.pem daemon.json key.json key.pem

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

Client: Docker Engine - Community
Version: 19.03.13
API version: 1.40
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:03:45 2020
OS/Arch: linux/amd64
Experimental: false

Server: Docker Engine - Community
Engine:
Version: 19.03.13
API version: 1.40 (minimum version 1.12)
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:02:21 2020
OS/Arch: linux/amd64
Experimental: false
containerd:
Version: 1.3.7
GitCommit: 8fba4e9a7d01810a393d5d25a3621dc101981175
runc:
Version: 1.0.0-rc10
GitCommit: dc9208a3303feef5b3839f4323d9beb36df0a9dd
docker-init:
Version: 0.18.0
GitCommit: fec3683
[root@client docker]#

友情链接官方版: TLS介绍.