Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证

已于 2024-03-15 10:56:42 修改
阅读量1.6k 收藏 46
点赞数 24
分类专栏: 问题解决 文章标签: docker 容器 运维 java 系统安全
于 2024-03-15 10:53:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myjavahe/article/details/136731553
版权

Docker Remote API未授权访问漏洞,此API主要目的是取代命令行界面

Dcoker swarm是docker下的分布化应用的本地集群,开放2375监听容器时,会调用这个API,方便的docker集群管理和扩展(绑定在0.0.0.0上,允许所有ip访问)

漏洞确认:可以通过浏览器访问http://ip:2375/

会返回404page not fount

或者访问http://ip:2375/info

会返回docker容器信息

漏洞的攻击过程大家可以网上找一下看看,这类信息网上很多,我就不多说了

漏洞防御方法有以下2种:
  1. 设置ACL,只允许信任的IP端口连接对应端口
  2. 开启TLS,使用生成的证书进行认证

今天主要说的是开启TLS认证方法

利用脚本自动生成证书,脚本(auto-tls-certs.sh)如下:

#!/bin/bash
# 
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------

# 以下是配置信息
# --[BEGIN]------------------------------

IP="10.10.1.1"
PASSWORD="123456"
COUNTRY="CN"
STATE="BEIJING"
CITY="BEIJING"
ORGANIZATION="test"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME="$IP"
EMAIL="test"

# --[END]--

# Generate CA key
openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key.pem" 4096
# Generate CA
openssl req -new -x509 -days 365 -key "ca-key.pem" -sha256 -out "ca.pem" -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL"
# Generate Server key
openssl genrsa -out "server-key.pem" 4096

# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key.pem" -out server.csr

echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "server-cert.pem" -extfile extfile.cnf


# Generate Client Certs.
rm -f extfile.cnf

openssl genrsa -out "key.pem" 4096
openssl req -subj '/CN=client' -new -key "key.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "cert.pem" -extfile extfile.cnf

rm -vf client.csr server.csr

chmod -v 0400 "ca-key.pem" "key.pem" "server-key.pem"
chmod -v 0444 "ca.pem" "server-cert.pem" "cert.pem"

# 打包客户端证书
mkdir -p "tls-client-certs"
cp -f "ca.pem" "cert.pem" "key.pem" "tls-client-certs/"
cd "tls-client-certs"
tar zcf "tls-client-certs.tar.gz" *
mv "tls-client-certs.tar.gz" ../
cd ..
rm -rf "tls-client-certs"

# 拷贝服务端证书
mkdir -p /etc/docker/certs.d
cp "ca.pem" "server-cert.pem" "server-key.pem" /etc/docker/certs.d/

执行以上脚本会在

服务端的证书生成在: /etc/docker/certs.d

客户端证书自动打包为 tls-client-certs.tar.gz

服务端证书生成后,添加到docker.service中

我的docker.service目录在/usr/lib/systemd/system/

执行linux命令:

vi /usr/lib/systemd/system/docker.service

在ExecStart中添加
--tlsverify --tlscacert=/etc/docker/certs.d/ca.pem --tlscert=/etc/docker/certs.d/server-cert.pem --tlskey=/etc/docker/certs.d/server-key.pem \

这个地方路径不要错了,否者docker.service 启动不了

如图:

上面文件编辑保存后执行,以下命令重载配置重启服务:

systemctl daemon-reload
service docker restart

至此:docker API添加了证书认证

 再访问http://ip:2375/info 就返回错误了

客户端通过TLS访问docker API

将tls-client-certs.tar.gz文件发送到客户端,解压到/home目录

在客户端执行请求,参数携带客户端证书路径就可以返回容器信息了:

curl https://ip:2375/info --cert /home/cert.pem --key /home/key.pem --cacert /home/ca.pem

以上就是 Docker 开启TLS,使用生成的证书进行认证

另外记录一个java使用TLS调用docker远程api的方法:

    @Bean
    public DockerClient dockerClient() {
        //本机ip
        String localIp = "127.0.0.1";
        com.github.dockerjava.core.DockerClientConfig config = null;
        if (useTLS) {
            config = DefaultDockerClientConfig.createDefaultConfigBuilder()
                    .withDockerHost("tcp://" + localIp + ":2375")
                    .withDockerTlsVerify(true)
                    .withDockerCertPath("/home/") //客户端证书在服务器上的位置
                    .build();
        } else {
            config = DefaultDockerClientConfig.createDefaultConfigBuilder()
                    .withDockerHost("tcp://" + localIp + ":2375")
                    .withDockerTlsVerify(false)
                    .build();
        }
        DockerHttpClient httpClient = new ApacheDockerHttpClient.Builder()
                .dockerHost(config.getDockerHost())
                .sslConfig(config.getSSLConfig())
                .maxConnections(100)
                .connectionTimeout(Duration.ofSeconds(30))
                .responseTimeout(Duration.ofSeconds(45))
                .build();
        DockerClient dockerClient = DockerClientImpl.getInstance(config, httpClient);
        return dockerClient;
    }

java学习之路
关注
  • 24
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Docker添加tomcat容器无法访问首页解决方案
09-29
主要介绍了Docker添加tomcat容器无法访问首页解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
DockerDocker Remote API 访问控制
01-09
Docker Remote API 访问控制 Docker远程调用 API 接口存在授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问,监听内网 ip,docker daemon 启动方式如下: [root@localhost ~]# vim /usr/lib/systemd/system/docker.service ##更改插入如下内容 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock ExecStart=/usr/bin/dockerd -H unix:/
Docker Remote API 授权漏洞全球探测1
08-03
漏洞发现的起因是,有一位同学在使用 docker swarm 的时候,发现了管理的 docker 节点上会开放一个 TCP 端口 2375,绑定在 0.0.0.
【转+自己研究】新姿势之Docker Remote API授权访问漏洞分析和利用
angaoux03775的博客
05-17 107
0x00 概述 最近提交了一些关于 docker remote api 授权访问导致代码泄露、获取服务器root权限的漏洞,造成的影响都比较严重,比如 新姿势之获取果壳全站代码和多台机器root权限 新姿势之控制蜻蜓fm所有服务器 新姿势之获取百度机器root权限 因为之前关注这一块的人并不多,这个方法可以算是一个“新的姿势”,本文对漏洞产生的原因和利用过程进行简单的分析和说...
Docker授权漏洞复现(合天网安实验室)
weixin_51151498的博客
11-29 1260
Docker授权漏洞复现(合天网安实验室)
Docker Remote API授权访问
lyink001的博客
12-16 1234
docker remote api获取服务器权限
Docker授权访问漏洞
qq_50854662的博客
10-18 1072
Docker授权访问漏洞
配置开启Docker2375远程连接与解决Docker授权访问漏洞
最新发布
Sherry
11-13 4133
配置开启Docker2375远程连接与解决Docker授权访问漏洞
Docker授权访问漏洞(www.hetianlab.com)
懂进攻知防守
07-20 3196
Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器Docker Daemon把服务暴露在tcp的2375端口上,这样就可以在网络上操作Docker了。Docker本身没有身份认证的功能,只要网络上能访问到服务端口,就可以操作Docker。...
关于docker remote api授权访问漏洞的学习与研究
07-16 605
漏洞介绍: 该授权访问漏洞是因为docker remote api可以执行docker命令,从官方文档可以看出,该接口是目的是取代docker 命令界面,通过url操作dockerdocker swarm是docker下的分布化应用的本地集群,在开放2375监听集群容器时,会调用这个api url输入ip:2375/version就会列出基本信息,和docker vers...
Docker之开启远程访问的实现
09-30
主要介绍了Docker之开启远程访问的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker Remote API授权访问漏洞以及安全防护
qq_46487664的博客
07-26 423
设备IP地址操作类型docker版本镜像训练机centos718.03.1-ce靶机Ubuntu24.0.4至少一个容器镜像。
Docker 授权访问漏洞
Thunderclap的博客
07-13 1930
Docker 授权访问漏洞
Docker_remote_api授权访问漏洞
weixin_46564680的博客
10-13 2084
Docker_remote_api授权访问漏洞 docker_remote_api简介: docker remote api主要的目的是取代命令行界面, docker client和docker daemon通过unix domain socket进行通信. 默认情况下,只有本机的root和docker组用户才能操作docker. 漏洞成因: dockerd -H unix:///var/run/docker. sock -H 0.0. 0.0:2375 docker守护进程监听在0.0.0.0,外网可
docker开放2375端口,并添加安全传输层协议(TLS)和CA认证
热门推荐
honvin的博客
08-17 1万+
为了更便捷地打包和部署,服务器需要开放2375端口才能连接docker,但如果开放了端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,任何知道你IP的人,都可以管理这台主机上的容器和镜像,真的可怕。 为了解决安全问题,只要使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 我们需要使用OpenSSL制作CA机构证书、服务端证书和客户端证书,以下操作均在安装Docker的Linux服务器上进行。 创建一个目录用于存储生成的证书和秘钥 mkdir
云安全攻防(八)之 Docker Remote API 授权访问逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-09 1736
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API,其默认绑定2375端口,如管理员对其配置不当可导致授权访问漏洞。攻击者利用 docker client 或者 http 直接请求就可以访问这个 API,可导致敏感信息泄露,甚至可进一步利用Docker自身特性,借助容器逃逸,最终完全控制宿主服务器Docker daemon 是 Docker 引擎的后台进程,也称为 Dockerd。
持续集成Docker-Java:实现应用和组件的远程发布
喜欢历史的码农
02-06 1331
使用的技术是 Docker-java 来编写相关的API基于Docker-java需要实现:实现远程连接、安全连接创建容器、加载镜像、拉取镜像、删除镜像、移除容器、启动容器、停止容器
Docker API 授权访问漏洞
qq_42383069的博客
05-09 7621
Docker API 授权访问漏洞 1、漏洞简介 在Docker的部署文档中,由于默认存在某些不安全的配置样例,导致2375管理端口对外,该授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker。 2、漏洞原理 利用 Docker 节点上开放的 TCP 端口 2375 远程执行 Docker 命令,进而可获取服务器 Root 权限。 3、漏洞环境搭建 这里我们直接使用 vluhub 环境 cd vulhub/docker/una
Docker Registry 授权访问漏洞
04-25
Docker Registry 授权访问漏洞是指攻击者可以在授权的情况下访问或者下载镜像。这种漏洞的危害性较大,因为攻击者可以使用被盗取的镜像发起攻击,造成不可预测的后果。要解决这个问题,可以通过限制访问 Docker Registry 的权限、加强密码强度,并且定期更新 Docker Registry 的软件等方式来保障安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值