理论实验:Docker高级应用远程TLS管理(安全认证)-----------------------随意整点

最新推荐文章于 2023-04-29 12:00:00 发布
最新推荐文章于 2023-04-29 12:00:00 发布
阅读量174 收藏
点赞数
分类专栏: 运维 文章标签: linux 负载均衡 服务器
原文来自:https://blog.csdn.net/Hero_V 抖音:Hero
本文链接:https://blog.csdn.net/Hero_V/article/details/110366536
版权

文章目录


前言

TLS(Transport Layer
Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket
Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。

TLS协议具备三大特性:保密性(数据都是加密传输,预防第三方嗅探)、数据完整性(基于MAC校验机制)、双向认证支持(避免身份被冒充)

在docker中,建立TLS加密是为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人***,c/s
两端应该通过加密方式通讯。

在这里插入图片描述

一、Docker 容器与虚拟机的区别

1.隔离与共享

虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而
Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU
资源等进行控制,最终让容器之间互不影响, 容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源

docker容器共享同一个内核资源,而虚拟机是独立的使用的资源都是独立的。

2.性能与损耗

与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好,
要从虚拟机破到宿主机或其他虚拟机,需要 先破 Hypervisor 层,这是极其困难的。而 docker
容器与宿主机共享内核、文件系统等资源, 更有可能对其他容器、宿主机产生影响。

与虚拟机相比容器消耗资源要少的多,因为容器是共享内核的意味着,一个容器资源占用多,其他容器占用的就少,一个容器出现问题,其他容器都会出现问题,因此虚拟机安全性要比容器好

二、Docker 存在的安全问题

1.Docker 自身漏洞

作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。 常用的手段主要有

代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,
Docker 用户最好将 Docker 升级为 最新版本。

2. Docker 源码问题

(1)Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭
建环境。但同时也带来了一些安全问题。例如下面三种方式: (1)上传恶意镜像
如果有在制作的镜像中植入、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。

(镜像可能存爱*软件和病毒)

(2)镜像使用有漏洞的软件 Docker Hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,
需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。

(老版本的镜像中环境有问题)

(3)中间人篡改镜像 镜像在传输过程中可能被篡改,目前新版本的 Docker 已经提供了相应的校验机制来预 防这个问题。
你上传的镜像被中间人劫持,篡改,这个时候你需要TLS安全证书,docker容器去找docker服务器做安全认证

三、Docker 架构缺陷与安全机制

Docker 本身的架构与机制就可能产生问题,例如这样一种场景,已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起。

  1. 容器之间的局域网

主机上的容器之间可以构成局域网,因此针对局域网的 ARP 欺骗、嗅探、广播风暴等 方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。

  1. DDoS 耗尽资源

Cgroups 安全机制就是要防止此类的,不要为单一的容器分配过多的资源即可避免此类问题。

  1. 有漏洞的系统调用 Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。 一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被时,者还可以利用内核漏洞跳到宿主机做更多的事情。

  2. 共享root用户权限 如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机的root权限。

四:Dcoker-TLS加密实战

4.1:TLS概述

TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。

TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改

TLS协议的优势是与高层的应用层协议(如HTTPFTPTelnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。

4.2:为什么要使用TLS加密

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。

1:对称DES 3DES AES长度不同长度越长安全越高,解密速度越慢

2:非对称RSA公钥,私钥、公钥:所有人可知()私钥(钥匙)个人身份信息,不可抵赖。

3:证书:个人信息,密钥,有效期

4: ca:证书颁发机构ca证书

5.具体的TLS流程
密钥key---》身份签名csr---》(服务器/客户端)(结合ca.pem)制作证书pem
证书pem发送给客户端,客户端验证就使用证书验证

4.3:docker-TLS部署

实验环境

主机名 IP地址 部署的服务
master 20.0.0.41 docker-ce
client 20.0.0.42 docker-ce 
#本地主机解析文件
[root@localhost ~]# vim /etc/hosts
'//添加本地IP+主机名'
20.0.0.41 master

#修改主机名
[root@localhost ~]# hostnamectl set-hostname master
[root@localhost ~]# su
[root@master ~]# 

#ping一下本地
[root@master ~]# ping master
PING master (20.0.0.41) 56(84) bytes of data.
64 bytes from master (20.0.0.41): icmp_seq=1 ttl=64 time=0.033 ms

#客户端同样
[root@localhost ~]# vim /etc/hosts
20.0.0.41 master

#修改主机名
[root@localhost ~]
最低0.47元/天 解锁文章
Hero_V
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker资源控制与TLS加密通信
weixin_47151717的博客
09-26 588
文章目录Docker资源控制使用stress工作测试cpu和内存cup周期限制CPU Core 控制cpu配额控制参数的混合使用内存限额IO限制bps和iops的限制Docker-TLS加密通信实验需求远程连接docker 文章目录Docker资源控制使用stress工作测试cpu和内存cup周期限制CPU Core 控制cpu配额控制参数的混合使用内存限额IO限制bps和iops的限制Docker-TLS加密通信实验需求远程连接docker() Docker资源控制 Docker通过Cgroup 来控
学习Docker高级应用---远程TLS管理安全认证)一篇就够了!!!
下一个艺术家
12-03 468
默认情况下,Docker通过非网络UNIX套接字运行。它还可以选择使用HTTP套接字进行通信。 如果需要以安全的方式通过网络访问Docker,则可以通过指定该tlsverify标志并将Dockertlscacert标志指向 受信任的CA证书来启用TLS 。 在守护程序模式下,它仅允许来自由该CA签名的证书验证的客户端的连接。在客户端模式下,它仅连接到具有该CA签名的证书的服务器
Docker入门及高级应用
Blueeyedboy521的博客
04-01 2588
一、初识Docker 1. 项目部署的问题 2. 什么是Docker https://www.bilibili.com/video/BV1LQ4y127n4?p=43&spm_id_from=pageDriver 3. Docker与虚拟机 https://www.bilibili.com/video/BV1LQ4y127n4?p=44&spm_id_from=pageDriver 4. 镜像和容器 5. DockerDockerHub 6. Docker架构 7. 安
Docker高级
startqbb的博客
04-29 331
pull一个centos镜像进入容器我们去执行vim命令,可以发现没有vim这个命令Docker中的虚悬镜像(dangling image)是指没有被任何Docker容器或镜像所依赖的镜像。当我们构建新的镜像或者删除现有的容器或镜像时,可能会产生一些虚悬镜像。虚悬镜像不会占据太多磁盘空间,但是会干扰镜像管理和容器部署。通过docker images命令可以查看所有的本地镜像,其中包括虚悬镜像。
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1329
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
docker 常用镜像下载: jdk8-alpine3.9
最新发布
06-01
加载镜像:docker load -i jdk8.tar
docker-compose-ui:Docker Compose的Web界面
02-02
它是什么Docker Compose UI是Docker Compose的Web...compose-ui \-p 5000:5000 \-w /opt/docker-compose-projects/ \-v /var/run/docker.sock:/var/run/docker.sock \francescou/docker-compose-ui:1.13.0您必须等待Doc
canal-adapter-v1.1.7的docker镜像
01-08
canal-adapter-v1.1.7,docker镜像,参考的制作流程:https://blog.csdn.net/qiaodaima0/article/details/125561823?spm=1001.2014.3001.5501
docker-compose-linux-x86-64-v2.15.1
02-03
linux安装docker-compose-linux-x86_64-v2.15.1版本 使用方法: chmod +x docker-compose-linux-x86-64-v2.15.1 mv docker-compose-linux-x86-64-v2.15.1 /usr/local/bin/docker-compose 验证: docker-compose ...
docker-node-container:Docker实验
05-15
目录: server.js package.json package-lock.json Docker文件docker-compose.yml节点服务器说明基本上,它具有一个非常简单的节点表示服务器,该服务器在端口5000上运行,并与Redis DB进行通信。 您可以将此代码与...
Windows server 2012远程桌面服务(RDP)存在SSL / TLS漏洞的解决办法
weixin_33811961的博客
06-28 7071
1、 前言为了提高远程桌面的安全级别,保证数据不被×××窃取,在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据,从而弥补了远程桌面功能本来的安全缺陷。2、问题描述在Windows server 2003和Windows server 2008,远程桌面服务SSL加密默认是关闭的...
程序员都在学的docker--docker安全TLS验证(ca证书、服务端证书、客户端证书)
kimowinter的博客
10-09 1532
文章目录一、 Docker-TLS加密通讯1.1 TLS介绍1.2 CA证书证书创建流程二、 TLS加密通讯实操实验目的实验环境实验参数实验过程1. 修改主机的前置环境2. 创建ca证书密钥3. 创建ca证书4. 创建服务端私钥5. 给服务端私钥签名6. 使用ca证书与私钥证书签名7. 生成客户私钥8. 给客户端证书签名9. 创建配置文件10. 创建客户端证书11. 整理证书12. 配置docker13. 传输证书,进行验证 一、 Docker-TLS加密通讯 1.1 TLS介绍 TLS (Transpor
docker高级应用之多台主机网络互联
weixin_33912445的博客
02-04 347
目前docker主要应用于单机环境,使用网桥模式,但如果想把多台主机网络互相,让多台主机内部的container互相通信,就得使用其他的软件来帮忙,可以使用Weave、Kubernetes、Flannel、SocketPlane或者openvswitch等,我这里就使用openvswitch来介绍docker多台主机网络互通。先看一个使用openvswitch连接的架构图,连接的方式是vxlan说...
第三章 Docker高级笔记
hankin的博客
04-12 358
一、Docker-Compose使用 当项目涉及容器较多时,需要一个管理容器的工具 1、docker-compose安装 1.1、curl方式安装 命令:curl -L https://github.com/docker/compose/releases/download/1.17.1/docker-compose-`uname -s`-`uname -m` > /usr/local...
portainer docker tls 集群连接 openssl
Vinci_ljl的博客
06-19 483
1. 生成tls证书 将gen_tls_certs.sh文件放到服务器/etc/docker目录里 执行 sh gen_tls_certs.sh 你的预警或ip地址密码123456 生成的秘钥证书在tls目录里 #!/bin/bash echo "执行示例: sh gen_tls_certs.sh www.baidu.com 123456" echo echo #服务器域名或地址 SERVER=$1 #密码 PASSWORD=$2 #下面描述信息可改可不该 COUNTRY="CN" STA..
docker高级应用之cpu与内存资源限制(转)
热门推荐
pdw2009的专栏
09-29 2万+
docker高级应用之cpu与内存资源限制
docker建立TLS证书连接
a7758775的博客
11-01 989
使用TLS证书保护Docker 当我们使用远程调用docker时,未设置TLSdocker,将可以被任何人调用,这是极其危险的。 docker原生提供了使用TLS证书(客户端和服务端)进行安全保证。 创建证书 使用openssl来创建CA,并签署秘钥/证书。 首先创建一个certs目录,并内置三个子目录 ca、client、server。 $ mkdir -p ~/certs/{ca,clien...
使用docker 搭建idea 认证服务器
走过程序员的路
07-30 2644
记录一下 docker pull ilanyu/golang-reverseproxy docker run -d -p 8899:8899 ilanyu/golang-reverseproxy 使用   ip:8899 端口 docker 是在太方便了!  
启用SSL后遇到:“该安全证书是由一家您不愿信任的公司颁发的”的解决方法...
weixin_33873846的博客
03-10 1067
安装exchange服务器,并启用SSL后,客户端访问exchange server时经常遇到“This security certificate was issued by a company that you have not chosen to trust(该安全证书是由一家您不愿信任的公司颁发的) ” 原因 颁发 Web 站点证书的证书颁发机构 (CA) 的根...
22运用Docker-Stack部署远程卷挂载lnmp网站PPT文档.pptx
11-14
本文主要描述了使用Docker-Stack部署远程卷挂载lnmp网站PPT文档.pptx的过程。此项目是广州白云工商技师学院云计算和大数据人才培养规划教材《容器技术实战》计算机网络教研室提出的项目任务,旨在通过运用Docker-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值