docker开放2375端口,并添加安全传输层协议(TLS)和CA认证

最新推荐文章于 2024-03-15 10:53:50 发布
最新推荐文章于 2024-03-15 10:53:50 发布
阅读量1w 收藏 31
点赞数 9
分类专栏: # Docker 文章标签: docker安全设置 docker添加CA认证 docker开放2375端口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hon_vin/article/details/108058339
版权

为了更便捷地打包和部署,服务器需要开放2375端口才能连接docker,但如果开放了端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,任何知道你IP的人,都可以管理这台主机上的容器和镜像,非常不安全。

为了解决安全问题,只要使用安全传输层协议(TLS)进行传输并使用CA认证即可。

制作证书及秘钥

我们需要使用OpenSSL制作CA机构证书、服务端证书和客户端证书,以下操作均在安装Docker的Linux服务器上进行。

  1. 创建一个目录用于存储生成的证书和秘钥
mkdir /docker-ca && cd /docker-ca
  1. 创建CA证书私钥,期间需要输入两次密码,生成文件为ca-key.pem
openssl genrsa -aes256 -out ca-key.pem 4096
  1. 根据私钥创建CA证书,期间需要输入上一步设置的私钥密码,然后依次输入国家是 CN,省例如是Guangdong、市Shenzhen、组织名称、组织单位、姓名或服务器名、邮件地址,都可以随意填写,生成文件为ca.pem
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
  1. 创建服务端私钥,生成文件为server-key.pem
openssl genrsa -out server-key.pem 4096
  1. 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr
openssl req -subj "/CN=192.168.3.171" -sha256 -new -key server-key.pem -out server.csr
  1. 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0可以匹配任意,但是仍然需要配置你的服务器IP,如果省略会造成错误
echo subjectAltName = IP:192.168.3.171,IP:0.0.0.0 >> extfile.cnf
  1. 将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证
echo extendedKeyUsage = serverAuth >> extfile.cnf
  1. 创建CA证书签名好的服务端证书,期间需要输入CA证书私钥密码,生成文件为server-cert.pem
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf
  1. 创建客户端私钥,生成文件为key.pem
openssl genrsa -out key.pem 4096
  1. 创建客户端证书签名请求文件,用于CA证书给客户证书签名,生成文件client.csr
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
  1. 要使密钥适合客户端身份验证,请创建扩展配置文件
echo extendedKeyUsage = clientAuth >> extfile.cnf
  1. 创建CA证书签名好的客户端证书,期间需要输入CA证书私钥密码,生成文件为cert.pem
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf
  1. 删除不需要的文件,两个证书签名请求
rm -v client.csr server.csr
  1. 修改证书为只读权限保证证书安全
chmod -v 0400 ca-key.pem key.pem server-key.pem

chmod -v 0444 ca.pem server-cert.pem cert.pem
  1. 归集服务器证书
cp server-*.pem  /etc/docker/ && cp ca.pem /etc/docker/

最终生成文件如下,有了它们我们就可以进行基于TLS的安全访问了

- ca.pem CA证书
- ca-key.pem CA证书私钥
- server-cert.pem 服务端证书
- server-key.pem 服务端证书私钥
- cert.pem 客户端证书
- key.pem 客户端证书私钥
配置Docker支持TLS
  • 修改docker.service文件
vi /usr/lib/systemd/system/docker.service
  • 修改以ExecStart开头的配置,开启TLS认证,并配置好CA证书、服务端证书和服务端私钥
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
  • 重新加载daemon
systemctl daemon-reload && systemctl restart docker
  • 重启docker
service docker restart
配置idea
  • 保存相关客户端的pem文件到本地
    在这里插入图片描述
    在这里插入图片描述
    如果连接失败,出现Cannot connect:java.io.IOException:chanel disconnected before any data was received,原因基本是证书配置的问题,只要按照上面的步骤重来不出错,就没问题。
honvin_
关注
  • 9
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 23
    评论
专栏目录
Docker启用TLS实现安全配置的步骤
09-29
主要给大家介绍了关于Docker启用TLS实现安全配置的方法步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!
Jan's的博客
01-18 2789
喜欢折腾慢慢看,不喜欢折腾直接跳到小简下文的一键脚本那里,两分钟搞好。我的博客:https://blog.ideaopen.cn我的公众号:小简聊开发一键脚本很方便,小简推荐使用这个,不折腾,我是折腾玩儿才不用脚本的。生产环境安全不容疏忽,大家公网环境可千万别粗心大意哦!Docker很多教程都只告诉你打开连接,万一有人服务器上开启连接,那就不是很好了,所以我才写一篇安全认证配置和远程连接配置一起的教程。下期再见,小简提前祝大家新春快乐哦!
Docker服务开放了这个端口,服务器分分钟变肉机!
weixin_42907150的博客
03-12 985
之前有很多朋友提过,当使用打包SpringBoot应用的Docker镜像时,服务器需要开放2375端口。由于开放端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,今天我们来聊聊如何解决这个问题。
Docker暴露2375端口导致服务器被攻击问题及解决方法
01-20
相信了解过docker remote API的同学对2375端口都不陌生了,2375docker远程操控的默认端口,通过这个端口可以直接对远程的docker daemon进行操作。 当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,可以在外部机器对$HOST的docker daemon进行直接操作: docker -H tcp://$HOST:2375 ps 好,说说如何“入侵”,怎么通过这个端口入侵宿主机呢? 这个应该要从几个点说起吧: 1. docker对user namespace没有做隔离,也就是说,容器内部的root用户就是宿主机
Docker暴露2375端口,引起安全漏洞
02-26
今天有小伙伴发现docker暴露出2375端口,引起了安全漏洞。我现在给大家介绍整个事情的来龙去脉,并告诉小伙伴们,怎么修复这个漏洞。为了实现集群管理,Docker提供了远程管理接口。DockerDaemon作为守护进程,运行在后台,可以执行发送到管理接口上的Docker命令。正是因为错误的使用了Docker远端接口,引起安全漏洞。国内牛人开发了一套牛逼的搜索引擎-钟馗之眼,可以扫描出主机上的暴露的端口。在ZoomEye.org上输入关键字dockerport:2375,立即可以扫描出所有暴露了2375端口Docker主机。因为没有加密,知道了主机IP以后,黑客就可以为所欲为了。目前全球有7
Docker远程访问开启安全验证
fanxl10的专栏
07-13 1393
Docker远程访问开启安全验证Docker开启远程访问修改docker.service文件重启生效检查是否生效idea连接docker服务开启安全验证创建证书idea连接 Docker开启远程访问 修改docker.service文件 vim /usr/lib/systemd/system/docker.service 找到 [Service] 节点,修改 ExecStart 属性,增加 -H tcp://0.0.0.0:2375 这里意思任何IP通过2375端口可以远程访问 重启生效 systemct
DockerDocker Remote API 访问控制
01-09
Docker Remote API 访问控制 Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问,监听内网 ip,docker daemon 启动方式如下: [root@localhost ~]# vim /usr/lib/systemd/system/docker.service ##更改插入如下内容 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock ExecStart=/usr/bin/dockerd -H unix:/
Docker未授权漏洞复现(合天网安实验室)
weixin_51151498的博客
11-29 1232
Docker未授权漏洞复现(合天网安实验室)
Docker Remote API未授权访问
lyink001的博客
12-16 1213
docker remote api获取服务器权限
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
最新发布
myJavaHe的博客
03-15 1405
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
Docker API 未授权访问 getshell——漏洞复现
W小哥
10-22 4281
一、Docker介绍 Docker 是一个开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署包括 VMs、bare metal、OpenStack 集群和其他的基础应用平台Docker。 二、Docker API 未授权访问介绍 Docker Remote API 是一个取代远程命令行界面(rcli)的REST API。 存在问题的版本分别为 1.3 和 1.6 因为权限控制等问题导致可以通过 docker client 或
Docker开启TLSCA认证
小强崽的博客
08-26 631
前言:Docker直接开启2375端口是不安全的,别人只要连上之后就可以任意操作,下面是开启DockerTLSCA认证方法,并使用Jenkins和Portainer连接。 一、生成证书 查看服务器主机名 hostname auto-generate-docker-tls-ca.sh # !/bin/bash # 一键生成TLSCA证书 # Create : 2021-08-25 # Update : 2021-08-25 # @Autor : wuduoqiang # 服务器主机名 SE.
漏洞——Docker远程api未授权访问(原理扫描)
龍承leo
10-24 803
Docker远程api未授权访问(原理扫描)
docker开放2375端口设置TLSCA认证
感谢关注点赞,笔芯啾咪!
03-15 975
需求:最近要使用idea的docker插件来实现持续集成和部署运行的功能,就在服务器开放2375端口,但是后续问题就来了,2375没有任何的保护措施,只要知道服务器ip就可以操控镜像和容器,后续服务器就被各种挖矿程序植入,导致内存和cpu爆满,所以为了解决这个安全问题,做了TLSCA认证。 1.在服务器创建CA文件目录(自己指定,后续所有操作都在必须此目录下进行) mkdir /salong/docker-ca cd /salong/docker-ca 2.创建CA证书私钥,期间需要输入.
docker remote api未授权访问_redis未授权访问漏洞 复现利用
weixin_39884270的博客
11-24 145
redis未授权访问漏洞1. redis未授权访问漏洞Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Re...
docker remote api未授权访问_【超详细】Redis 未授权访问漏洞
weixin_39747568的博客
11-26 282
0x01 漏洞描述  Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用...
配置开启Docker2375远程连接与解决Docker未授权访问漏洞
Sherry
11-13 3516
配置开启Docker2375远程连接与解决Docker未授权访问漏洞。
DOCKER REMeOTE API 未授权访问漏洞复现
weixin_43061533的博客
12-01 698
0x01 漏洞简述 Docker Remote API是一个取代远程命令行界面(rcli)的REST API。本文中,我们将使用命令行工具cURL来处理url相关操作。cURL可以发送请求、获取以及发送数据、检索信息。 0x02 风险等级 严漏洞的评定结果如下: 评定方式 等级 威胁等级 严重 影响面 广泛 0x03 漏洞详情 Dockerdocker.service设置为0.0.0.0/lib/systemd/system/docker.service,导致任意访问 Docker没有使用iptables
docker开放2375
08-13
开放 Docker2375 端口是一种容器安全风险,因为它可以使外部主机直接访问 Docker 引擎,可能导致未经授权的远程访问和潜在的漏洞利用。因此,建议不要在生产环境中开放端口。 如果您有特殊需求需要远程管理 Docker,可以考虑使用安全的方法,如使用 SSH 隧道或使用 TLS认证来保护 Docker 引擎的远程访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 23
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

honvin_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值