Docker容器通信安全----TLS加密通讯

最新推荐文章于 2024-08-19 03:34:54 发布
最新推荐文章于 2024-08-19 03:34:54 发布
阅读量276 收藏
点赞数
分类专栏: Docker容器 文章标签: docker openssl 服务器 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huhaiyangFIVE/article/details/110532685
版权

目录

一、TLS加密通信

在公司的docker业务中,一般为了防止链路劫持、会话劫持等问题导致docker通信时
被中间人攻击,C/S两端应该通过加密方式通讯。

二、搭建部署

2.1、搭建环境

两台虚拟机都安装了 docker-ce。
server端-----10.0.0.10
client端------10.0.0.20

2.2、server端部署

1、修改主机名,并配置hosts文件

hostnamectl set-hostname master
su
vim /etc/hosts
127.0.0.1   master     ‘末行添加’

2、创建目录和ca密钥

[root@master ~]# mkdir /tls
[root@master ~]# cd /tls
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
‘openssl :开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听’
‘genrsa:rsa 非对称密钥’
‘-aes256:指定密钥长度为256位’
‘-out ca-key.pem:创建ca-key.pam密钥文件’

Generating RSA private key, 4096 bit long modulus
.......................................++
..................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:       #输入密码
Verifying - Enter pass phrase for ca-key.pem:   #确认密码
[root@master tls]# ls 
ca-key.pem    #生成的密匙

在这里插入图片描述

3、创建ca证书

[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

‘ -days 1000:有效期是1000天 ’
‘req -new:请求创建新的证书’
‘-x509:证书的一个参数’
‘-key:指定密钥文件’
‘-sha256:哈希验证’
‘-subj “/CN=*”:指定项目名称’
‘-out ca.pam:产生出ca证书’

[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:     #输入创建ca密匙时的密码
[root@master tls]# ls
ca-key.pem  ca.pem   #官方颁布的证书

在这里插入图片描述

4、创建服务器端的私钥

[root@master tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
........................................................................................................++
...........++
e is 65537 (0x10001)
[root@master tls]# ls
ca-key.pem  ca.pem  server-key.pem

在这里插入图片描述

5、认证服务器私钥,签名私钥

[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
‘使用server-key.pem 密钥文件进行签名,生产私钥证书’
[root@master tls]# ls
ca-key.pem  ca.pem  server.csr  server-key.pem

在这里插入图片描述

6、 使用ca证书与私钥证书签名,输入密码,生成服务器证书

[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

‘openssl x509:使用openssl方式生成 509证书’
‘-in server.csr :导入签名文件’
‘-CA ca.pam :加入CA官方授权的证书’
‘-CAcreateserial -out server-cert.pem:创建服务端的证书’


Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:   #输入密码
[root@master tls]# ls
ca-key.pem  ca.pem  ca.srl  server-cert.pem  server.csr  server-key.pem

在这里插入图片描述

7、客户端密钥生成,使用密钥进行签名

[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.............++
...........................................++
e is 65537 (0x10001)
[root@master tls]# openssl req -subj "/CN=clinet" -new -key key.pem -out client.csr
[root@master tls]# ls
ca-key.pem  ca.pem  ca.srl  client.csr  key.pem  server-cert.pem  server.csr  server-key.pem

在这里插入图片描述
8、创建配置文件

[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf

在这里插入图片描述
9、创建签名证书,需指定ca证书、ca秘钥、客户端前面和刚生成的配置文件

[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

在这里插入图片描述
10、删除多余的文件,配置docker service文件

[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr
[root@master tls]# vim /lib/systemd/system/docker.service
‘注释14行默认的准启动内容’
‘在15行添加准启动内容’
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

在这里插入图片描述
加载单元,重启服务

[root@master tls]# systemctl daemon-reload 
[root@master tls]# systemctl restart docker

11、 将 /tls/ca.pem 、/tls/cert.pem 、/tls/key.pem 这三个文件复制到客户端/etc/docker下,需输入root密码

[root@master tls]# scp ca.pem root@10.0.0.20:/etc/docker/  
[root@master tls]# scp cert.pem root@10.0.0.20:/etc/docker/
[root@master tls]# scp key.pem root@10.0.0.20:/etc/docker/

客户端验证

[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# vim /etc/hosts
10.0.0.10 master

[root@client ~]# cd /etc/docker/
[root@client docker]# ls
ca.pem  cert.pem  daemon.json  key.json  key.pem
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

在这里插入图片描述

-黄油小熊-
关注
专栏目录
Docker容器----TLS加密通讯
XuMin6的博客
04-28 563
Docker容器----TLS加密通讯 一:介绍TLSTLS (Transport Layer Security)指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL(Secure Sockets Layer),即安全套接字层。 1、TLS的目的 ​ 目的是建立起一个安全的通道。在建立安全通道时可以安全地传输数据...
容器容器云——docker安全(TLS加密通讯
weixin_45683092的博客
04-29 431
docker 容器与虚拟机的区别 隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系统、进程、设备、网络等资源进行隔离,再对权限、CPU资源等进行控制,最终让容器之间相互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源 性能与损...
docker容器的安全
double_happy111的博客
04-28 1244
docker容器的安全 文章目录docker容器的安全1.docker容器与虚拟机的区别2.docker存在的安全问题3.docker架构缺陷与安全机制4.docker安全基线标准5.容器最小化6.docker remote api访问控制7.限制流量流向8.镜像安全9.docker-tls加密 1.docker容器与虚拟机的区别 container VM 启动速度 秒级 分钟...
docker容器加密访问的方法
ling的专栏
01-08 9726
对于宿主主机能够操作docker的账号拥有很大的权限,它可以进入宿主主机的所有容器中,因为容器本身的进出是不能加密的。 这种情况在开发测试中不愿意被看到的,可行的办法就是把编辑代码所用的账号和拥有docker权限的账号分开,然后通过ssh的方式登录测试容器环境。 一、容器安装ssh 进入容器中 1.直接安装ssh apt-get update apt-get install openssh-server 如果安装ssh报如下错误: E: Sub-process /usr/bin/dpkg
Docker--TLS加密通讯详解
weixin_47153988的博客
09-27 349
文章目录一、Docker存在的安全问题二、TLS加密通讯三、TLS安全加密配置3.1 实验环境3.2 实验操作3.3 实验测试 一、Docker存在的安全问题 1、Docker 自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。 黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。 2、Docker 源码问题 Docker 提供了 Do
Docker容器-----安全管理(内涵TLS加密通讯
m0_50854537的博客
03-17 3722
一、Docker使用场景 1.1、此处列举了Docker 的8个使用场景 1、简化配置 虚拟机的最大好处是能在你的硬件设施上运行各种配置不一样的平台(软件, 系统), Docker在降低额外开销的情况下提供了同样的功能. 它能让你将运行环境和配置放在代码汇总然后部署, 同一个Docker的配置可以在不同的环境环境中使用, 这样就降低了硬件要求和应用环境之间耦合度 2、代码流水线管理 代码从开发者的机器到最终在生产环境上的部署, 需要经过很多的中坚环境. 而每一个中间环境都有自己微小的差别,
docker安全---Docker-TLS加密通讯
weixin_51725822的博客
04-02 217
docker安全---Docker-TLS加密通讯一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化六、Docker remote api 访问控制七、限制流量流向八、镜像安全九、Docker-TLS加密通讯1、创建ca密钥2、创建ca证书3、创建服务器私钥4、
docker-letsencrypt-nginx-proxy-companion:LetsEncrypt伴侣容器用于nginx-proxy
02-02
3. **docker-letsencrypt-nginx-proxy-companion**:这个项目作为一个独立的Docker容器运行,与nginx-proxy容器通信。它监听nginx-proxy的网络变动,如新容器的启动或停止,当检测到变化时,会自动为新容器的域名...
Docker-TLS详解
繁星若渺的博客
03-17 1519
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
Docker容器TLS加密通讯安全
Mr_XHC的博客
03-18 938
Docker-TLS加密通讯
fhe-toolkit-linux:用于Linux的IBM完全同态加密工具包。 该工具包是一个基于Linux的Docker容器,可演示对加密数据的计算而无需解密! 该工具包附带两个演示,其中包括使用神经网络进行的完全加密的机器学习推理以及保留隐私的键值搜索
02-06
fhe-toolkit-linux:用于Linux的IBM完全同态加密工具包。 该工具包是一个基于Linux的Docker容器,可演示对加密数据的计算而无需解密! 该工具包附带两个演示,其中包括使用神经网络进行的完全加密的机器学习推理以及保留隐私的键值搜索
tls加密通信
weixin_45725244的博客
04-28 383
两台虚拟机都安装了 docker-ce。 server端-----192.168.175.148 client端------192.168.175.149 //关闭防火墙 [root@promote ~]# systemctl stop firewalld.service [root@promote ~]# mkdir /root/tls //创建ca密码 [root@promote tls]#...
你的Docker容器可能充满了Graboid加密蠕虫
Docker的专栏
10-20 289
Docker成为了加密劫持蠕虫Graboid目标,该蠕虫是刚刚被发现并命名的。根据Unit 42的研究人员称,该蠕虫旨在挖掘Monero加密货币,到目前为止,已经感染了2...
ssl/tls加密通信
J0KER的博客
12-14 444
golang
偷偷学 Docker 系列 | TLS 通讯加密(理论+实操)
Xucf1
04-02 438
文章目录一、前置知识点1.密钥①对称密钥②非对称密钥③混合密钥(对称+非对称)2.签名3.数据完整性4.证书二、Docker 启用 TLS 进行加密通讯1.TLS 概述2.TLS 原理2.部署步骤 一、前置知识点 1.密钥 ①对称密钥 是一种加密和解密使用相同密钥的算法,效率较高,可加密内容较大,用来加密会话过程中的消息,适用于大规模生产的环境下使用 就像固定的一道门与一把钥匙一样,但是,对称加密算法在分布式网络系统上使用较为困难,因为密钥管理困难,使用成本较高,还是这个比方,你去收租,几百串钥匙你管的烦
Docker容器间通信的安全问题——TLS加密通信
xwy9526的博客
12-03 593
1.隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响, 容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。 2.性能与损耗 与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好, 要从虚拟机攻
容器docker数据卷加密
最新发布
weixin_40911489的博客
08-19 27
我整理的一些关于【容器,Docker】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/xltfov容器Docker数据卷加密 随着云计算和容器化技术的迅猛发展,Docker作为一种流行的容器平台,越来越多地被运用在生产环境中。在使用Docker容器时,数据的持久性和安全性是一...
Linux---Docker通信安全详解
qq397750142的博客
04-27 188
Docker remote api 访问控制 Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问。 监听内网 ip,docker daemon 启动方式如下 默认情况下,docker不提供对外访问端口 [root@localhost docker]# netstat -ntap | grep docker [root@local...
Docker(2) 安全加密,habor仓库和Docker网络
weixin_43414025的博客
09-09 1073
文章目录Docker 安全加密使用ssl加密连接 docker registry配置用户认证访问 Docker 安全加密 使用ssl加密连接 docker registry 建立一个 certs 目录 生成自签名证书 [root@server1 certs]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout ./westos.org.key -x509 -days 365 -out ./westos.org.crt Generating a 40
Docker容器安全实践:数据加密与最佳配置
本篇文档主要讨论了数据在Docker容器网络中的加密问题以及相关的安全措施,针对苹果iOS 11设计规范下的Docker容器安全实践。首先,强调了默认情况下,Docker集群模式下,不同节点的容器间通信数据未加密,这可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值