【Docker 2375端口安全问题】生成证书解决Docker 2375的端口问题

最新推荐文章于 2024-05-16 13:14:17 发布
最新推荐文章于 2024-05-16 13:14:17 发布
阅读量776 收藏 3
点赞数
文章标签: docker 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lljj10/article/details/134622145
版权

描述

当我们使用Docker 远程管理,比如IDEA 的Docker连接,通常会使用docker Daemon开启2375 端口来方便远程执行发送到管理端口上的Docker命令
IDEA 使用Docker链接
但是我服务器开通端口后总是莫名其妙的收到木马入侵提醒。去网上搜索时发现确实有这种问题存在

操作描述

开放 2375

  1. 编辑守护线程的配置文件
    vim /usr/lib/systemd/system/docker.service
  2. 找到ExecStart并 修改
    ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
  3. 重启docker 和守护线程
    systemctl daemon-reload & systemctl restart docker
  4. 防火墙开通端口
    不必多说,自己检查
  5. 调试一下

生成证书及秘钥 防止入侵

以上做法就会开通一个所有IP 都可以访问的2375端口,就会引起入侵问题。
如果你的IP 固定,你可以在配置文件上进行设置,或者针对防火墙进行设置。
以下整理网上的教程,生成 证书。

  1. 创建一个目录用于存储生成的证书和秘钥

    systemctl daemon-reload & systemctl restart docker

  2. 使用openssl创建CA证书私钥,期间需要输入两次密码,生成文件为ca-key.pem

    openssl genrsa -aes256 -out ca-key.pem 4096

  3. 根据私钥创建CA证书,期间需要输入上一步设置的私钥密码,然后依次输入国家是 CN,省例如是Guangdong、市Guangzhou、组织名称、组织单位、姓名或服务器名、邮件地址,都可以随意填写,生成文件为ca.pem(注意证书有效期)

    openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

  4. 创建服务端私钥,生成文件为server-key.pem

    openssl genrsa -out server-key.pem 4096

  5. 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr

    openssl req -subj "/CN=Your server IP" -sha256 -new -key server-key.pem -out server.csr

  6. 配置白名单,用多个用逗号隔开,例如: IP:192.168.0.1,IP:0.0.0.0

    echo subjectAltName = IP:Your server IP,IP:0.0.0.0 >> extfile.cnf

  7. 将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

    echo extendedKeyUsage = serverAuth >> extfile.cnf

  8. 创建CA证书签名好的服务端证书,期间需要输入CA证书私钥密码,生成文件为server-cert.pem

    openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

  9. 创建客户端私钥,生成文件为key.pem

    openssl genrsa -out key.pem 4096

  10. 创建客户端证书签名请求文件,用于CA证书给客户证书签名,生成文件client.csr

    openssl req -subj '/CN=client' -new -key key.pem -out client.csr

  11. 要使密钥适合客户端身份验证,请创建扩展配置文件

    echo extendedKeyUsage = clientAuth >> extfile.cnf

  12. 创建CA证书签名好的客户端证书,期间需要输入CA证书私钥密码,生成文件为cert.pem

    openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf

  13. 删除不需要的文件,两个证书签名请求

    rm -v client.csr server.csr

  14. 修改证书为只读权限保证证书安全

    chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

  15. 将服务器证书复制到其他文件夹

    cp server-*.pem  /etc/docker/ && cp ca.pem /etc/docker/

最终生成文件如下,有了它们我们就可以进行基于TLS的安全访问了

ca.pem CA证书
ca-key.pem CA证书私钥
server-cert.pem 服务端证书
server-key.pem 服务端证书私钥
cert.pem 客户端证书
key.pem 客户端证书私钥

修改配置文件和重启

vim /usr/lib/systemd/system/docker.service
# 修改配置文件
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock


systemctl daemon-reload && systemctl restart docker

保存证书文件 并使用

将IDEA 链接地址改为 HTTPS (不是tcp了)
然后将证书文件夹地址设置上
在这里插入图片描述

测试

  1. 做一个简单的Helloworld 的SpringBoot 程序
    在这里插入图片描述

  2. 做一个Docker File 文件

    FROM moxm/java:1.8-full

RUN mkdir -p /zr-erp-server

WORKDIR /zr-erp-server

ARG JAR_FILE=target/HelloWorld-1.0.jar

COPY ${JAR_FILE} app.jar

EXPOSE 6666

ENV TZ=Asia/Shanghai JAVA_OPTS=" -Xms128m -Xmx512m "
ENV ENCODING=" -Dfile.encoding=utf-8 "
#睡60 然后启动
CMD java $JAVA_OPTS -jar $ENCODING app.jar

  3. 使用Docker 发布到服务器
    在这里插入图片描述
    在这里插入图片描述

声明

版权声明:本文为CSDN博主「Q-T」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:链接: CSDN博主「Q-T」的原创文章

lljj10
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker Remote API 逃逸攻击(2375端口)_2375 发送docker命令(1)
m0_60667406的博客
04-05 1089
Docker 2375端口上的 Remote API 存在未授权访问漏洞,攻击者可以借此控制宿主机dockerd创建特权容器完成逃逸。
docker打开2375端口
q244495945的博客
04-26 906
docker设置端口2375_docker开启2375端口_越来越好京京的博客-CSDN博客
Docker Remote API 逃逸攻击(2375端口)_2375 发送docker命令(3)
最新发布
2401_84544780的博客
05-16 370
Docker 2375端口上的 Remote API 存在未授权访问漏洞,攻击者可以借此控制宿主机dockerd创建特权容器完成逃逸。
配置开启Docker2375远程连接与解决Docker未授权访问漏洞
Sherry
11-13 4769
配置开启Docker2375远程连接与解决Docker未授权访问漏洞。
docker开启远程访问 2375
lanwp5302的博客
01-24 2042
docker开启远程访问 系统使用centos7 一、打开docker端口 /usr/lib/systemd/system/docker.service 中 ExecStart=/usr/bin/dockerd-current \ #增加-H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock 重启docker ExecStart=/usr/bin...
docker开启2375端口(无tls)
qq_40937400的博客
02-15 214
【代码】docker开启2375端口(无tls)
docker开启TLS远程访问 2376
lms99251的博客
07-18 1807
docker开启TLS远程访问的方法
Docker(十四)Docker 开放 2375 TCP端口
weixin_38399962的博客
01-17 2371
1.编辑docker.service文件 vim /usr/lib/systemd/system/docker.service 在ExecStart=/usr/bin/dockerd 后插入 -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock 2.重启虚拟机、重启docker systemctl daemon-reload //重启...
第一次执行docker build 出错  the docker client must be run elevated to connect
Yuri's FarmLand
11-27 2286
在做.net微服务练习的时候 第一次执行docker build 出现【the docker client must be run elevated to connect】 docker build -t mymicroservice . error during connect: Post http://%2F%2F.%2Fpipe%2Fdocker_engine/v1.40/build?buildargs=%7B%7D&cachefrom=%5B%5D&cgroupparent..
Linux部署Docker生态
joke的博客
06-18 1389
Linux部署Docker生态一、部署Docker1.安装Docker2.运行Docker3.设置开机启动二、集成Portainer1.拉取portainer镜像1.启动portainer容器2.开放9000及2375端口3.将节点添加至portainer中三、部署minio1.拉取minio镜像2.启动minio容器并初始化密码四、部署redis1.拉取redis镜像2.启动redis容器 一、......
Docker Remote API 逃逸攻击(2375端口)_2375 发送docker命令
2401_83974660的博客
04-11 375
Docker 2375端口上的 Remote API 存在未授权访问漏洞,攻击者可以借此控制宿主机dockerd创建特权容器完成逃逸。
杂记 | Linux中修改docker默认访问端口2375
野生猿林仔的博客
03-25 2313
2375端口docker的默认访问端口,使用该端口可实现远程访问和操作docker,但在服务器上直接开启该端口安全风险,可以修改该默认端口以在一定程度上减少被入侵的风险。
关于docker remote api未授权访问漏洞的学习与研究
07-16 615
漏洞介绍: 该未授权访问漏洞是因为docker remote api可以执行docker命令,从官方文档可以看出,该接口是目的是取代docker 命令界面,通过url操作dockerdocker swarm是docker下的分布化应用的本地集群,在开放2375监听集群容器时,会调用这个api url输入ip:2375/version就会列出基本信息,和docker vers...
docker 开启2375端口,提供外部访问docker
热门推荐
H的博客
09-02 6万+
编辑docker文件:/usr/lib/systemd/system/docker.service vim /usr/lib/systemd/system/docker.service 修改ExecStart行为下面内容 ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock \ ...
Docker暴露2375端口,引起安全漏洞
xinxinyunli的博客
05-30 2万+
Docker暴露2375端口,引起安全漏洞
Docker暴露2375端口导致服务器被攻击解决方法!
欢迎来到「小菠萝」的博客
02-25 7893
相信了解过docker remote API的同学对2375端口都不陌生了,2375docker远程操控的默认端口,通过这个端口可以直接对远程的docker daemon进行操作。 当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,可以在外部机器对$HOST的docker daemon进行直接操作: docker -H tcp://$HOS...
Docker实战 | 第五篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
舞鹤白沙编码日志
10-04 1359
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。.
docker创建镜像及push镜像出错问题
weixin_30408739的博客
01-21 635
docker build 出错 Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post http://%2Fvar%2Frun%2Fdocker.sock/v1.39/build?buildargs=%7B%7D&ca...
docker 项目端口映射不出来是什么问题
05-20
端口映射不出来可能有以下几个原因: 1. 端口号映射错误:在 `docker run` 命令中,使用 `-p` 参数将容器内的端口映射到主机上,如果端口号映射错误,就无法访问容器内的应用。请检查你的端口号是否正确映射。 2. 防火墙阻止访问:如果你的主机上启用了防火墙并设置了规则,可能会阻止访问容器内应用的端口。请检查你的防火墙规则是否允许访问该端口。 3. 容器未启动或异常:如果容器未启动或异常,你也无法访问容器内的应用。通过 `docker ps` 命令查看容器是否正常运行,并通过 `docker logs` 命令查看容器的日志信息,以便找到并解决问题。 4. 主机端口被占用:如果你的主机上已经有其他进程使用了该端口,也会导致端口映射失败。请检查你的主机端口是否已经被占用,并尝试使用其他未被占用的端口。 希望这些提示能够帮助你找到问题所在并解决端口映射失败的问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值