Docker 生产环境之安全性 - 保护 Docker 守护进程套接字

最新推荐文章于 2024-06-19 11:38:29 发布
最新推荐文章于 2024-06-19 11:38:29 发布
阅读量1k 收藏 1
点赞数
分类专栏: Docker 文章标签: docker

原文地址

默认情况下,Docker 通过非联网的 Unix 套接字运行。它也可以选择使用 HTTP 套接字进行通信。

如果需要通过网络以安全方式访问 Docker,则可以通过指定 tlsverify 标志并将 Docker 的 tlscacert 标志指向受信任的 CA 证书来启用 TLS。

在守护进程模式下,它只允许客户端通过由该 CA 签名的证书进行身份验证。在客户端模式下,它仅连接到具有由该 CA 签名的证书的服务器。

高级主题
使用 TLS 和管理 CA 是高级主题。在生产环境中使用之前,请先了解 OpenSSL,x509 和 TLS。

1. 使用 OpenSSL 创建 CA,服务器和客户端密钥

注意:将下面示例中所有 $HOST 替换为你的 Docker 守护进程所在主机的 DNS 名称。

首先,在 Docker 守护进程所在主机上,创建 CA 公私钥:

$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................................................................................................................................................................................++
........++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:Queensland
Locality Name (eg, city) []:Brisbane
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc
Organizational Unit Name (eg, section) []:Sales
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []:Sven@home.org.au

现在你已经有 CA 了,可以创建一个服务器密钥和证书签名请求(certificate signing request,CSR)。确保“通用名称”(Common Name)与用于连接到 Docker 的主机名相匹配:

$ openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)

$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

接下来,用我们的 CA 签署公钥:

由于 TLS 连接可以通过 IP 地址和 DNS 域名建立,因此创建证书时需要指定 IP 地址。例如,要允许使用 10.10.10.20 和 127.0.0.1 进行连接:

$ echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf

将 Docker 守护进程密钥的扩展使用属性设置为仅用于服务器身份验证:

$ echo extendedKeyUsage = serverAuth >> extfile.cnf

现在,生成签名证书:

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=your.host.com
Getting CA Private Key
Enter pass phrase for ca-key.pem:

授权插件 提供更细致的控制,以相互补充 TLS 的认证。除了上述文档中描述的其他信息之外,在 Docker 守护程序上运行的授权插件会接收用于连接 Docker 客户端的证书信息。

对于客户端身份验证,请创建客户端密钥和证书签名请求:

注意:为了简化接下来的几个步骤,也可以在 Docker 守护进程的主机上执行此步骤。

$ openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................................++
................++
e is 65537 (0x10001)

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

要使密钥适合客户端认证,请创建一个扩展配置文件:

$ echo extendedKeyUsage = clientAuth >> extfile.cnf

现在,生成签名证书:

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

在生成 cert.pemserver-cert.pem 后,可以安全的删除这两个证书签名请求:

$ rm -v client.csr server.csr

通过默认的 022 umask,你的密钥对你和你的组来说,是完全可写可读的。

为防止意外损坏你的密钥,请删除其写入权限。要让它们只能被你读取,请按如下方式更改文件模式:

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

证书可以被所有人读,但是最好删除写权限以防止意外损坏:

$ chmod -v 0444 ca.pem server-cert.pem cert.pem

现在,可以使 Docker 守护进程只接受提供能够通过你的 CA 认证的证书的客户端的连接:

$ dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem \
  -H=0.0.0.0:2376

要连接到 Docker 并验证其证书,请提供你的客户端密钥,证书和可信 CA:

在客户端机器上运行这个命令
这一步应该运行在你的 Docker 客户端上。因此,需要将 CA 证书,服务器证书和客户端证书复制到该机器。

$ docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem \
  -H=$HOST:2376 version

注意:使用 TLS 的 Docker 应该运行在 TCP 的 2376 端口。

警告:如上例所示,使用证书验证身份时,不需要使用 sudodocker 组运行 docker 客户端。这意味着任何拥有密钥的人都可以给你的 Docker 守护进程提供任何指令,让他们可以访问托管守护进程的机器。保护这些密钥,就像你使用 root 密码一样!

2. 默认安全

如果想在默认情况下确保 Docker 客户端的连接安全,可以将文件移动到你的主目录下的 .docker 目录 - 并设置 DOCKER_HOSTDOCKER_TLS_VERIFY 变量以及(而不是在每次调用时传递 -H=tcp://$HOST:2376--tlsverify)。
原文:
If you want to secure your Docker client connections by default, you can move the files to the .docker directory in your home directory – and set the DOCKER_HOST and DOCKER_TLS_VERIFY variables as well (instead of passing -H=tcp://$HOST:2376 and –tlsverify on every call).

$ mkdir -pv ~/.docker
$ cp -v {ca,cert,key}.pem ~/.docker

$ export DOCKER_HOST=tcp://$HOST:2376 DOCKER_TLS_VERIFY=1

Docker 现在默认就是安全连接:

$ docker ps

3. 其他模式

如果你不需要完整的双向认证,可以通过组合使用各种标志来以各种其他模式运行Docker。

3.1 守护进程模式

  • tlsverifytlscacerttlscerttlskey:认证客户端。
  • tlstlscerttlskey:不认证客户端。

3.2 客户端模式

  • tls:基于公共或默认的 CA 池验证服务器
  • tlsverifytlscacert:基于给定的 CA 验证服务器
  • tlstlscerttlskey:根据给定的 CA 验证客户端证书并验证服务器验证客户端证书,但不验证服务器
  • tlsverifytlscacerttlscerttlskey:根据给定的 CA 验证客户端证书并验证服务器

如果找到了,客户端会发送它的客户端证书,所以只需将你的密钥放入 ~/.docker/{ca,cert,key}.pem。或者,如果要将密钥存储在其他位置,则可以使用环境变量 DOCKER_CERT_PATH 指定该位置。

$ export DOCKER_CERT_PATH=~/.docker/zone1/
$ docker --tlsverify ps

3.3 使用 curl 连接到安全的 Docker 端口

要使用 curl 来创建测试 API 请求,需要使用三个额外的命令行标志:

$ curl https://$HOST:2376/images/json \
  --cert ~/.docker/cert.pem \
  --key ~/.docker/key.pem \
  --cacert ~/.docker/ca.pem
kikajack
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker-expose-socket:Docker映像,用于通过TCP公开Docker UNIX套接字,而无需重新配置守护程序本身
05-04
通过TCP公开Docker套接字 有时,运行受TLS支持的Docker远程API查询会很复杂。 为了在无需更改Docker守护程序的设置的情况下实现此目的,请使用此映像通过TCP公开Docker套接字。 另外,当前的Docker版本中似乎存在一些错误。 看 跑步 Docker套接字的映像的内部端口是12375 。 例如,您可以通过-p 1234:12375重新映射端口。 这将在Docker主机上的端口1234上暴露Docker套接字。 运行docker run -d -v /var/run/docker.sock:/var/run/docker.sock -p 1234:12375 --name expose -t tobilg/expose-socket在Docker / Boot2Docker主机上docker run -d -v /var/run/docker.sock:/va
docker-socket-proxy:通过您的Docker套接字代理以限制其接受的请求
02-01
这是Docker套接字的增强安全性的代理。 为什么? 授予对Docker套接字的访问权限可能意味着授予对主机甚至整个集群的root访问权限,但是某些服务需要挂钩到该套接字以对事件做出React,等等。使用此代理,您可以...
Docker套接字介绍
MKC__jiaoq的博客
02-25 896
查看Docker状态 [root@Docker1 ~]# systemctl status dockerdocker.service - Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled) Active: active (running) since 四 202
docker守护进程配置代理
最新发布
qq_41905051的博客
06-19 634
docker守护进程配置代理
Docker 生产环境之配置守护进程 - 配置并运行 Docker
kikajack的博客
03-11 6732
原文地址 在安装并成功启动 Docker 后,dockerd 守护进程就会使用默认配置运行。本主题讨论如何自定义配置,手动启动守护进程,以及在发生问题时的问题定位和调试守护进程。 1. 用操作系统工具开启守护进程 启动 Docker 的命令根据操作系统的不同而不同。在 安装 Docker 部分查找对应资料。要将 Docker 配置为开机自动启动,参考 Configure Docker t...
docker守护程序是_与远程Docker守护程序打包
weixin_26705651的博客
08-12 335
docker守护程序是Do you need to create a Docker image but don’t have Docker running on your machine? No problem. Pack uses the Docker API to run containerized builds and create runnable OCI images, which me...
Docker 生产环境安全性 - 概述
kikajack的博客
03-17 2839
原文地址 在审查 Docker 安全性时,需要考虑四个主要方面: 内核固有的安全性及其支持的 namespace 及 cgroup Docker 守护进程本身的攻击面(attack surface) 容器默认的或用户自定义的配置中的漏洞 内核的“强化”安全功能以及它们如何与容器交互 1. 内核命名空间 namespace Docker 容器跟 LXC 容器类似,并且它们具有相似的安全特...
浅谈Docker 客户端和守护进程
09-30
例如,`-H tcp://host:port` 将使Docker守护进程监听指定的TCP端口,`unix:///path/to/socket` 则使用Unix域套接字。此外,`DOCKER_HOST` 环境变量也可以用来设置守护进程的通信地址。 容器是Docker的核心概念,...
php-docker-template:用于具有共享套接字PHP应用程序,CLI和FPM的Docker映像
05-14
PHP Docker映像模板 ...Nginx-对于在此存储库中基于PHP FPM映像构建PHP项目的含义,因为它正在寻找php-fpm套接字并且无权访问PHP代码 fpm / HTTP服务器关系: +------------------------------+-----+
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
docker-codeigniter-graphql:docker-codeigniter-graphql(带有套接字服务器)
04-16
【标题】"docker-codeigniter-graphql:docker-codeigniter-graphql(带有套接字服务器)" 提供了一个集成 Docker 的 CodeIgniter 应用程序,该应用程序利用 GraphQL 技术,并且集成了套接字服务器。这个项目是为了...
domotik-node:具有Node-openzwave安装和Rest套接字API的Docker容器
03-21
该项目提供了一个带有安装的Docker容器 git克隆 cd domotik-node / docker docker-compose up -d 浏览 开发模式 docker-compose run node-server npm run watch:dev 配置 所有配置都存储在app / server / config中 ...
docker-enforcer:Docker强制执行器-Docker的配置合规性强制工具
05-02
这存在安全隐患,因为放入规则文件的所有python代码都将在具有访问docker套接字访问权限的特权容器中执行。 确保您的规则文件具有受限制的访问权限,并且只能由root用户修改。 如果您不注意(作为容器运行时),...
docker-exec-web-console:从浏览器到docker exec的Web UI
02-05
容器使用socat将Docker套接字绑定到TCP端口,这样我就可以避免更改Go服务器中的http.Post部分以直接与UNIX套接字进行通信。 您可以通过以下方式启动容器: docker run \--name docker-exec-web-console \-p 9999:...
docker-nvidia-egl-desktop:面向NVIDIA GPU的MATE桌面容器,无需使用X Server,可直接使用EGL访问GPU以使用VirtualGL和TurboVNC模拟GLX。 不需要tmp.X11-unix主机套接字
02-06
【标题】中的“docker-nvidia-egl-desktop”是一个专为NVIDIA GPU设计的Docker容器,它基于MATE桌面环境,特别之处在于它不需要依赖传统的X Server来提供图形界面。这个容器利用了EGL(Embedded Graphics Library)...
serial-instrument:Docker容器为串行设备创建套接字接口
03-16
Docker容器提供了多种协议接口,可与启用序列的仪器进行通信(例如,梅特勒-托利多天平。IKA搅拌器,Julabo冷却器,Cole Parmer泵等)。 例子 在连接到串行仪器的启用wifi的微型计算机上启动此容器系统。 微型计算机...
Docker学习总结】13.Docker守护进程的配置和操作
FullStackDeveloper0的博客
02-27 869
一、Docker守护进程的启停   systemctl start docker systemctl stop docker systemctl restart docker 注意:若是修改了docker的相关配置文件并重启docker时,需要执行 systemctl daemon-reload 命令,然后再重启docker! 二、Docker守护进程配置文件 (1)老版 在...
Docker上的安全性:如何配合无间
zhong930的博客
01-18 480
当然Docker镜像因其简洁实用而闻名,Docker安全性到底如何却仍然是一个未知的迷。Docker的专家Dustin Huptas和Andreas Schmidt给我们展示了一些要构建安全的Docker系统必须了解的安全功能。 越来越多的公司开始向Docker容器技术迁移,并且在他们的技术栈中引入基于Docker的解决方案。围绕开发人员向Docker技术的靠近迟早会影响到生产环境的变化。...
Docker
小琳猫的博客
01-17 1302
本篇博客参考了《微服务架构基础》和一些其他教程,对Docker进行了较为全面的总结,以便加深理解和记忆
无法连接docker守护进程
11-23
当无法连接到Docker守护进程时,通常是由于权限被拒绝所致。解决这个问题的步骤如下: 1. 确保你是以root用户或者具有sudo权限的用户运行Docker命令。如果不是root用户,可以使用以下命令将当前用户添加到docker用户组中: ```shell sudo usermod -aG docker $USER ``` 2. 重新登录或者重启系统,以使用户组更改生效。 3. 确保Docker守护进程正在运行。可以使用以下命令检查Docker服务的状态: ```shell sudo systemctl status docker ``` 如果Docker守护进程未运行,可以使用以下命令启动它: ```shell sudo systemctl start docker ``` 4. 如果你仍然无法连接到Docker守护进程,请检查Docker守护进程套接字文件的权限。默认情况下,Docker守护进程套接字文件位于`/var/run/docker.sock`。可以使用以下命令检查套接字文件的权限: ```shell ls -l /var/run/docker.sock ``` 确保当前用户具有对套接字文件的读写权限。如果没有权限,可以使用以下命令更改套接字文件的权限: ```shell sudo chmod 666 /var/run/docker.sock ``` 5. 最后,重新运行Docker命令并尝试连接到Docker守护进程: ```shell docker ps ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值