docker开放2375端口设置TLS和CA认证

最新推荐文章于 2023-11-24 22:02:01 发布
最新推荐文章于 2023-11-24 22:02:01 发布
阅读量975 收藏 7
点赞数 3
分类专栏: 安装问题和解决方法 文章标签: docker tls ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35429398/article/details/114832925
版权

需求:最近要使用idea的docker插件来实现持续集成和部署运行的功能,就在服务器开放了2375端口,但是后续问题就来了,2375没有任何的保护措施,只要知道服务器ip就可以操控镜像和容器,后续服务器就被各种挖矿程序植入,导致内存和cpu爆满,所以为了解决这个安全问题,做了TLS和CA认证。

 

1.在服务器创建CA文件目录(自己指定,后续所有操作都在必须此目录下进行

mkdir /salong/docker-ca

cd /salong/docker-ca

2.创建CA证书私钥,期间需要输入两次密码,记住这个密码,后续会用到,最后生成文件为ca-key.pem

openssl genrsa -aes256 -out ca-key.pem 4096

3.根据私钥创建CA证书,期间需要输入上一步设置的私钥密码,然后依次输入国家是 CN,省例如是Guangdong、市shenzhen、组织名称、组织单位、邮件地址,都可以随意填写,生成文件为ca.pem,

其中,网上对于服务器或你的姓名字段(Common Name)有争议,有人说必须要输入自己的服务器ip,有人说随便输,这里我还是输入了我自己服务器的公网ip,建议还是输入自己的服务器公网ip。

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

输入示例:

Country Name (2 letter code) : CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:shenzhen
Organization Name (eg, company) [Internet Widgits Pty Ltd]: xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []: xxx@aliyun.com

4.创建服务端私钥,生成文件为server-key.pem

openssl genrsa -out server-key.pem 4096

 5.创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr

openssl req -subj "/CN=服务器公网IP地址" -sha256 -new -key server-key.pem -out server.csr

6.配置白名单,用多个用逗号隔开(网上对此有争议,我建议0.0.0.0必须写,不写可能会出错)

echo subjectAltName = IP:你的服务器公网ip,IP:0.0.0.0 >> extfile.cnf

7.将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

8.创建CA证书签名好的服务端证书,期间需要输入CA证书私钥密码,生成文件为server-cert.pem

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

9.创建客户端私钥,生成文件为key.pem

openssl genrsa -out key.pem 4096 Generating RSA private key, 4096 bit long modulus

10.创建客户端证书签名请求文件,用于CA证书给客户证书签名,生成文件client.csr

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

11.要使密钥适合客户端身份验证,创建扩展配置文件

echo extendedKeyUsage = clientAuth > extfile-client.cnf

12.创建CA证书签名好的客户端证书,期间需要输入CA证书私钥密码,生成文件为cert.pem

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

13.复制文件

cp server-*.pem  /etc/docker/ && cp ca.pem /etc/docker/

14.修改docker.service文件配置

vi /usr/lib/systemd/system/docker.service

15.修改以ExecStart开头的配置,开启TLS认证,并配置好CA证书、服务端证书和服务端私钥

这一段前面如果是ExecStart=/usr/bin/dockerd-current的不要修改,建议只复制 --tlsverify和它后面的内容,否则会出现容器列表丢失和无法找到容器的问题。

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

16.重载deamon

systemctl daemon-reload

17.重启docker

service docker restart

18.配置idea

   首先将这三个证书文件存到本地,放在指定的目录下。

打开idea,进行配置。(将url中的tcp改为https,证书folder选择上一步证书的存储位置

 

却诚Salong
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker暴露2375端口,引起安全漏洞
02-26
今天有小伙伴发现docker暴露出2375端口,引起了安全漏洞。我现在给大家介绍整个事情的来龙去脉,并告诉小伙伴们,怎么修复这个漏洞。为了实现集群管理,Docker提供了远程管理接口。DockerDaemon作为守护进程,运行在后台,可以执行发送到管理接口上的Docker命令。正是因为错误的使用了Docker远端接口,引起安全漏洞。国内牛人开发了一套牛逼的搜索引擎-钟馗之眼,可以扫描出主机上的暴露的端口。在ZoomEye.org上输入关键字dockerport:2375,立即可以扫描出所有暴露了2375端口Docker主机。因为没有加密,知道了主机IP以后,黑客就可以为所欲为了。目前全球有7
Docker服务开放2375这个端口,服务器引起安全漏洞!
weixin_45972606的博客
09-15 1450
使用docker-maven-plugin打包SpringBoot应用的Docker镜像时,服务器需要开放2375端口。会引起安全漏洞,被人入侵、挖矿、CPU飙升发生,使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 1.首先创建一个目录用于存储生成的证书和秘钥 mkdir /mydata/docker-ca && cd /mydata/docker-ca 创建CA证书私钥,期间需要输入两次用户名和密码,生成文件为ca-key.pem; openssl ge
docker 开启2375端口,提供外部访问docker,idea连接服务器docker
霓虹深处
05-07 7165
Docker暴露2375端口,引起安全漏洞,需谨慎 如何修复该漏洞 如果要安全的管理远程Docker主机,应该怎么做呢?其实,Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了。 首先要准备5个证书和秘钥文件,分别是ca.pem、server-cert.pem、server-key.pem、client-cert.pem和client-key.pem。其中,s...
docker开放2375端口,并添加安全传输层协议(TLS)和CA认证
热门推荐
honvin的博客
08-17 1万+
为了更便捷地打包和部署,服务器需要开放2375端口才能连接docker,但如果开放端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,任何知道你IP的人,都可以管理这台主机上的容器和镜像,真的可怕。 为了解决安全问题,只要使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 我们需要使用OpenSSL制作CA机构证书、服务端证书和客户端证书,以下操作均在安装Docker的Linux服务器上进行。 创建一个目录用于存储生成的证书和秘钥 mkdir
配置开启Docker2375远程连接与解决Docker未授权访问漏洞
Sherry
11-13 3516
配置开启Docker2375远程连接与解决Docker未授权访问漏洞。
Docker对外开放2375端口引发安全漏洞分析与解决方案
QT2016
07-03 8955
Docker对外开放2375端口引发安全漏洞分析与解决方案
Docker实战 | 第五篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
舞鹤白沙编码日志
10-04 1348
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。.
docker设置TLS,保证端口2375的安全连接。亲测可用~
qq971473597的博客
07-31 1473
前提:登录服务器,创建一个保存证书的文件夹。 我的路径是 /home/bright/ca 1.生成私有和公有秘钥 1.1 输入命令 openssl genrsa -aes256 -out ca-key.pem 4096 会有提示:Enter pass phrase for ca-key.pem: 输入,并记住这个ca-key密码! 1.2 输入命令 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 会有提示:Ente
Docker暴露2375端口导致服务器被攻击问题及解决方法
01-20
相信了解过docker remote API的同学对2375端口都不陌生了,2375docker远程操控的默认端口,通过这个端口可以直接对远程的docker daemon进行操作。 当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,...
Docker启用TLS实现安全配置的步骤
09-29
主要给大家介绍了关于Docker启用TLS实现安全配置的方法步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Docker启用TLS加密解决暴露2375端口引发的安全漏洞
花花世界芸芸众生的博客
12-23 598
转载:https://www.cnblogs.com/haoxianrui/p/14095306.html 参考:https://docs.docker.com/engine/security/https
Docker】 入门与实战学习(Idea集成docker实现镜像打包一键部署)
源僧
10-16 1205
视频中docker插件不存在,搜索不到,里面创建docker进行项目运行时会出现错误,应该是插件原因造成的。
centos7 docker开启认证的远程端口2376配置
最新发布
J_Lee
11-24 1078
centos7 docker开启认证的远程端口2376配置
创建Docker TLS 证书
FlonChou
12-10 468
创建Docker TLS 证书 1、编写创建脚本 docker-install-tls.sh 并执行 #创建 Docker TLS 证书 #!/bin/bash #相关配置信息 SERVER需要更改为对应服务器IP SERVER="172.16.0.73" PASSWORD="digitalgd@2020" COUNTRY="CN" STATE="广东省" CITY="广州市" ORGANIZATION="测试环境" ORGANIZATIONAL_UNIT="Dev" EMAIL="aap-operat
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!
Jan's的博客
01-18 2789
喜欢折腾慢慢看,不喜欢折腾直接跳到小简下文的一键脚本那里,两分钟搞好。我的博客:https://blog.ideaopen.cn我的公众号:小简聊开发一键脚本很方便,小简推荐使用这个,不折腾,我是折腾玩儿才不用脚本的。生产环境安全不容疏忽,大家公网环境可千万别粗心大意哦!Docker很多教程都只告诉你打开连接,万一有人服务器上开启连接,那就不是很好了,所以我才写一篇安全认证配置和远程连接配置一起的教程。下期再见,小简提前祝大家新春快乐哦!
docker打开2375端口
q244495945的博客
04-26 873
docker设置端口2375_docker开启2375端口_越来越好京京的博客-CSDN博客
Docker远程访问开启安全验证
fanxl10的专栏
07-13 1393
Docker远程访问开启安全验证Docker开启远程访问修改docker.service文件重启生效检查是否生效idea连接docker服务开启安全验证创建证书idea连接 Docker开启远程访问 修改docker.service文件 vim /usr/lib/systemd/system/docker.service 找到 [Service] 节点,修改 ExecStart 属性,增加 -H tcp://0.0.0.0:2375 这里意思任何IP通过2375端口可以远程访问 重启生效 systemct
Ubuntu Docker 开启2375端口 【手把手教程】
众纳百川的博客
10-20 1500
由于Docker 配置文件是在系统目录并且为只读,所以需要为Ubuntu 配置一个菜单插件用于右键打开文件时能显示“以管理员身份打开”功能,如下图。1.以管理员身份打开对应Docker配置文件:/lib/systemd/system下。开发环境下可以通过此端口直接向部署有Docker的那个服务器直接推送程序。2.Ubuntu 系统升级Docker后(升级后会自动重置配置信息)1.操作系统安装完Docker后。3.再次测试是否可以正常连接。什么情况下需要如此操作?打开终端,运行如下命令。
DockerTLS认证
qq_27858615的博客
07-28 1384
dockerTLS认证
docker开放2375
08-13
开放 Docker2375 端口是一种容器安全风险,因为它可以使外部主机直接访问 Docker 引擎,可能导致未经授权的远程访问和潜在的漏洞利用。因此,建议不要在生产环境中开放端口。 如果您有特殊需求需要远程管理 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

却诚Salong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值