Docker远程API控制及TLS认证控制

最新推荐文章于 2024-05-29 00:21:04 发布
置顶 最新推荐文章于 2024-05-29 00:21:04 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: Docker 文章标签: docker 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CN_LiTianpeng/article/details/109750861
版权

Docker存在安全问题

  1. Docker自身漏洞

作为一款应用Docker本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。
黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。
目前Docker 版本更迭非常快,Docker用户最好将Docker升级为最新版本。

  1. Docker 源码问题

Docker提供了Docker hub(公有仓库),可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。
但同时也带来了一些安全问题。例如下面三种方式:

(1) 黑客上传恶意镜像如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。

(2)镜像使用有漏洞的软件Docker Hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。
所以下载镜像后,需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。

(3)中间人攻击篡改镜像镜像在传输过程中可能被篡改,目前新版本的 Docker已经提供了相应的校验机制来预防这个问题。

通过API访问控制

  • Docker的远程调用API接口存在未授权访问漏洞,至少应限制外网访问。建议使用Socket方式访问。

1.服务端开放端口

[root@master tls]# vim /usr/lib/systemd/system/docker.service 
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://192.168.10.10:2375   ##将准启动配置改为这条
[root@master tls]# systemctl daemon-reload  ##重载进程
[root@master tls]# systemctl restart docker   ##重启docker
[root@master ~]# netstat -anpt |grep 2375
tcp        0      0 192.168.10.10:2375      0.0.0.0:*               LISTEN      3910/dockerd

2.客户端远程登入控制

验证登入192.168.10.10控制镜像容器

[root@client ~]# docker images    ##首先查看本地镜像
REPOSITORY            TAG                 IMAGE ID            CREATED             SIZE
centos                stress              ff638256123c        11 hours ago        401MB
compose_nginx_nginx   latest              2e9d53f55a43        3 days ago          455MB
centos                7                   8652b9f0cb4c        3 days ago          204MB
[root@client ~]# docker -H tcp://192.168.10.10 images    ##查看镜像,通过API登入master控制
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
nginx               latest              c39a868aad02        12 days ago         133MB

TLS认证访问控制

1.配置主机名

[root@localhost~]# hostnamectl set-hostname master
[root@localhost~]# su
[root@master ~]# echo “127.0.0.1 master” >>/etc/hosts

2.创建tls目录存放相关文件

[root@master ~]# mkdir /tls
[root@master ~]# cd /tls

3.创建ca秘钥和证书

1 创建ca秘钥

[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
....................................++
..........................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:                 ## 输入密码
Verifying - Enter pass phrase for ca-key.pem:     ##再次输入密码

2 创建ca证书

[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:     ##输入密码,创建证书

3 创建服务器私钥

[root@master tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
..........................++
............++
e is 65537 (0x10001)

4 签名私钥

[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

5 使用ca证书与私钥证书签名

[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:     ##输入认证密码

6 生成客户端密钥

[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
......................................................++
........................................++
e is 65537 (0x10001)

7 签名客户端

[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr

8 创建配置文件

[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf

9 签名证书

[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:     ##输入密码

10 删除多余文件,以.pem结尾的是有用文件

[root@master tls]# ls
ca-key.pem  ca.pem  ca.srl  cert.pem  client.csr  extfile.cnf  key.pem  server-cert.pem  server.csr  server-key.pem
[root@master tls]# ls *.pem
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem

[root@master tls]# ls |egrep -v "*.pem" |xargs rm -rf   ##删除无用文件

[root@master tls]# ls
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem
  1. 放通端口
[root@master tls]#  vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock   
##修改准启动项
[root@master tls]# systemctl daemon-reload
[root@master tls]# systemctl restart docker
  1. 将/tls/ca.pem /tls/cert.pem /tls/key.pem三个文件复制到另一台主机(客户端)
[root@master tls]# scp ca.pem cert.pem key.pem root@192.168.10.20:/etc/docker/

root@192.168.10.20's password: 
ca.pem                                         100% 1765   891.6KB/s   00:00    
cert.pem                                       100% 1696     2.1MB/s   00:00    
key.pem                                        100% 3243     4.7MB/s   00:00
  1. 到客户端(192.168.10.20)访问控制测试
[root@client ~]# ls /etc/docker/*.pem    ##查看证书文件
/etc/docker/ca.pem  /etc/docker/cert.pem  /etc/docker/key.pem

[root@client ~]# echo "192.168.10.10 master" >>/etc/hosts

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
nginx               latest              c39a868aad02        12 days ago         133MB
知无涯学无尽
关注
专栏目录
Docker——docker安全Docker remote api 访问控制TLS加密通讯
ML908的博客
04-28 2468
文章目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、 Docker 源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、 DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器...
DOCKER REMeOTE API 未授权访问漏洞复现
weixin_43061533的博客
12-01 746
0x01 漏洞简述 Docker Remote API是一个取代远程命令行界面(rcli)的REST API。本文中,我们将使用命令行工具cURL来处理url相关操作。cURL可以发送请求、获取以及发送数据、检索信息。 0x02 风险等级 严漏洞的评定结果如下: 评定方式 等级 威胁等级 严重 影响面 广泛 0x03 漏洞详情 Dockerdocker.service设置为0.0.0.0/lib/systemd/system/docker.service,导致任意访问 Docker没有使用iptables
# 2021-01-07 #「Docker」- 使用 Docker API
k4nz
01-07 185
「Engine API version history」 之前通过在命令行中调用Docker命令,但是这不是理想的方案。Docker提供了API,可以通过API来操作Docker进行服务集成。 首先将Docker服务绑定到网络端口,然后通过HTTP API控制Docker服务。 最后使用TLS进行认证。 三种 API 接口 在 Docker Ecosystem 中,有三种 API 接口: 1)Registry API:用于与 Registry 服务集成。 2)Docker Hub API:用于.
Docker 使用TLS 认证远程访问
weixin_34204722的博客
06-04 542
2019独角兽企业重金招聘Python工程师标准>>> ...
docker remote api一键TLS加密
独孤清扬玩DB
07-12 560
docker api
CoreOS配置Docker API TLS认证
weixin_33722405的博客
07-31 141
为什么80%的码农都做不了架构师?>>> ...
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
myJavaHe的博客
03-15 2384
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
Centos Docker1.12 远程Rest api访问的配置方法
09-30
4. 配置完成后,你可以参考Docker的官方远程API文档来了解可用的API端点和操作。Docker Remote API v1.24的文档可以在Docker官方网站上找到,它提供了详细的API接口说明,帮助你理解如何通过HTTP请求控制Docker。 ...
Docker-TLS详解
繁星若渺的博客
03-17 1519
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
长文详解!Docker客户端与服务端TLS认证Docker Remote API认证
董哥的黑板报
07-28 4971
一、Docker Remote API认证 在前一篇文章我们介绍了Docker Remote API如何使用:https://blog.csdn.net/qq_41453285/article/details/107642615 在前一篇文章中我们介绍了如何连接到Docker Remote API,但是不意味着任何其他人都能连接到同样的API。从安全的角度上看,这存在一点儿安全问题。不过值得感谢的是,自Docker的0.9版本开始Docker Remote API开始提供了认证机制。这种认证机制采用了
[docker] docker 安全知识 - docker api, 权限提升 & 资源管理
最新发布
GoldenaArcher的博客
05-29 1314
这是 docker 安全的最后一篇。
docker开启2375端口(无tls)
qq_40937400的博客
02-15 235
【代码】docker开启2375端口(无tls)
七、docker私库搭建(无SSL认证
小强_Obj
08-10 2167
说明 私库在内网运行,所以没有进行SSL认证。 在公网发布的时候,使用阿里云的容器镜像服务 1.在所有主机上编辑/etc/docker/daemon.json 文件,增加 "insecure-registries": ["192.168.3.231:5000"] 然后执行命令重启Docker “` systemctl daemon-reload ; servi...
Docker容器--TLS安全管理
qq_46480020的博客
03-16 801
文章目录一、Docker remote api 访问测试远程调用docker二、Docker-TLS加密验证 一、Docker remote api 访问 Docker远程调用API接口存在未授权访问的漏洞,至少也应该限制外网访问,这里配置使用Socket方式访问。 这里我们使用centos7 ip:192.168.100.101作为被访问方; centos7 ip:192.168.100.100作为远程调用方。 使用 docker -d -H unix:///var/run/docker.sock -H
Docker Remote API 进行认证
qq_40422846的博客
05-19 2004
Docker 的 0.9 版本开始 Docker Remote API 开始提供了认证机制,这种认证机制采用了 TLS/SSL 证书来确保用户与 API 之间连接的安全性。 提示: 该认证不仅仅适用于 API ,通过这个认证,还需要配置 Docker 客户端来支持 TLS 认证。 有几种方法可以对我们的连接进行认证,包括可以使用...
实战「 docker TLS加密通讯 」
多一份贡献,多一份环保
07-08 8117
快速配置一个最简单的docker TLS加密通讯使用说明演示环境(centos7,docker17.06.0-ce)创建一个文件夹mkdir /ssl创建ca密钥openssl genrsa -aes256 -out ca-key.pem 4096创建ca证书openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*"
Docker实战 | 第五篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
舞鹤白沙编码日志
10-04 1378
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。.
Docker容器技术之Docker网络
Helmer的博客
07-19 638
介绍了Docker网络的三种形式,其中bridge网络是最常用的网络。
Docker Remote API 漏洞分析:无授权访问风险
"Docker Remote API 未授权漏洞全球探测1" ...及时修补和更新Docker版本,启用TLS认证,限制API的网络访问,都是防止未授权访问的重要措施。对于Docker Swarm用户,更应关注集群的安全配置,避免不必要的安全风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值