docker添加TLS暴露2375

最新推荐文章于 2023-11-25 23:49:20 发布
最新推荐文章于 2023-11-25 23:49:20 发布
阅读量528 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41009234/article/details/103631798
版权

创建TLS 安全连接

  1. 创建证书脚本
[root@node-219 docker]# cat tlscert.sh 
#!/bin/bash
# @author: Bocloud

if [ $# != 1 ] ; then 
echo "USAGE: $0 [HOST_IP]" 
exit 1; 
fi 

#============================================#
#   下面为证书密钥及相关信息配置,注意修改   #
#============================================#
PASSWORD="Beyond#11"
COUNTRY=CN
PROVINCE=jiangsu
CITY=suzhou
ORGANIZATION=Bocloud
GROUP=OEM
NAME=Bocloud
HOST=$1
SUBJ="/C=$COUNTRY/ST=$PROVINCE/L=$CITY/O=$ORGANIZATION/OU=$GROUP/CN=$HOST"

echo "your host is: $1"

# 1.生成根证书RSA私钥,PASSWORD作为私钥文件的密码
openssl genrsa -passout pass:$PASSWORD -aes256 -out ca-key.pem 4096

# 2.用根证书RSA私钥生成自签名的根证书
openssl req -passin pass:$PASSWORD -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem -subj $SUBJ

#============================================#
#          用根证书签发server端证书          #
#============================================#

# 3.生成服务端私钥
openssl genrsa -out server-key.pem 4096

# 4.生成服务端证书请求文件
openssl req -new -sha256 -key server-key.pem -out server.csr -subj "/CN=$HOST"

# 5.使tls连接能通过ip地址方式,绑定IP
echo subjectAltName = IP:127.0.0.1,IP:$HOST > extfile.cnf

# 6.使用根证书签发服务端证书
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf


#============================================#
#          用根证书签发client端证书          #
#============================================#

# 7.生成客户端私钥
openssl genrsa -out key.pem 4096

# 8.生成客户端证书请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

# 9.客户端证书配置文件
echo extendedKeyUsage = clientAuth > extfile.cnf

# 10.使用根证书签发客户端证书
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

#============================================#
#                    清理                    #
#============================================#
# 删除中间文件
rm -f client.csr server.csr ca.srl extfile.cnf

# 转移目录
mkdir client server
cp {ca,cert,key}.pem client
cp {ca,server-cert,server-key}.pem server
rm {cert,key,server-cert,server-key}.pem

# 设置私钥权限为只读
chmod -f 0400 ca-key.pem server/server-key.pem client/key.pem
  1. 执行脚本
    生成TLS证书配置
[root@node-219 docker]# bash ./tlscert.sh 192.168.2.219
your host is: 192.168.2.219
Generating RSA private key, 4096 bit long modulus
.................................................++
.........++
e is 65537 (0x10001)
Generating RSA private key, 4096 bit long modulus
...............................++
..........++
e is 65537 (0x10001)
Signature ok
subject=/CN=192.168.2.219
Getting CA Private Key
Generating RSA private key, 4096 bit long modulus
..................................................................................................++
....................................................++
e is 65537 (0x10001)
Signature ok
subject=/CN=client
Getting CA Private Key
mkdir: cannot create directory ‘client’: File exists
mkdir: cannot create directory ‘server’: File exists

证书路径如下:

[root@node-219 docker]# ls
ca-key.pem  ca.pem  client  server  tlscert.sh
[root@node-219 docker]# pwd
/root/docker
  1. 配置服务端docker
    cp证书到docker下。
[root@node-219 docker]# cp server/* /etc/docker

修改/usr/lib/systemd/system/docker.service文件,在 ExecStart=/usr/bin/dockerd -H fd:// 后添加上证书配置。

ExecStart=/usr/bin/dockerd -H fd:// --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H=unix:///var/run/docker.sock -H=0.0.0.0:2375

重启docker使配置生效。

[root@node-219 docker]# systemctl daemon-reload
[root@node-219 docker]# systemctl restart docker

外部访问的方式

  1. 客户端加tls参数访问
[root@node-216 ~]# docker --tlsverify --tlscacert=client/ca.pem --tlscert=client/cert.pem --tlskey=client/key.pem -H tcp://192.168.2.219:2375 images
REPOSITORY                              TAG                 IMAGE ID            CREATED             SIZE
deploy.bocloud/paas/tomcat              jdk8-corretto       acfc903a890c        8 weeks ago         418MB
deploy.bocloud/paas/sonarqube           7.9.1               6b7ac1689533        2 months ago        480MB
deploy.bocloud/paas/jenkins             2.174               d6170c74e3ca        8 months ago        704MB
deploy.bocloud/paas/postgresql-photon   v1.5.0              35c891dea9cf        19 months ago       221MB
deploy.bocloud/paas/clair               v2.0.1              930044c045e0        2 years ago         387MB
  1. Docker API方式访问
[root@node-216 ~]# curl https://192.168.2.219:2375/images/json --cert client/cert.pem --key client/key.pem --cacert client/ca.pem
[{"Containers":-1,"Created":1571710621,"Id":"sha256:acfc903a890c280823c7672e3f775e8f15bd97259ed77a5873fd7a1cb53f2db3","Labels":null,"ParentId":"","RepoDigests":["deploy.bocloud/paas/tomcat@sha256:9a08962cc4e8d1ff850ab85048dbfdf5ef8bfd5706cd30df4345557f1eb35e7c"],"RepoTags":["deploy.bocloud/paas/tomcat:jdk8-corretto"],"SharedSize":-1,"Size":417867037,"VirtualSize":417867037},{"Containers":-1,"Created":1571474225,"Id":"sha256:6b7ac16895331e3867d06762bf773c87e6512a7ae60f4f4fd037800093b271d5","Labels":null,"ParentId":"","RepoDigests":["deploy.bocloud/paas/sonarqube@sha256:e4465c1a587a9f07def0f4ae99e88e3755eb2b016261a6fc5fbb46fb4e8cfd4e"],"RepoTags":["deploy.bocloud/paas/sonarqube:7.9.1"],"SharedSize":-1,"Size":479541766,"VirtualSize":479541766},{"Containers":-1,"Created":1555988207,"Id":"sha256:d6170c74e3ca7f4e133de55416bec9f110f96d41de2f757d288769500808737b","Labels":null,"ParentId":"","RepoDigests":["deploy.bocloud/paas/jenkins@sha256:484cdb6e7a7d3d49f3e26faa07e4c96dadf08ce82a40a7aef5546a48b0ec02a6"],"RepoTags":["deploy.bocloud/paas/jenkins:2.174"],"SharedSize":-1,"Size":703658287,"VirtualSize":703658287},{"Containers":-1,"Created":1525274683,"Id":"sha256:35c891dea9cfb0aa4afb3912736cba8a44af1b37897ccad2f9c134031420354e","Labels":null,"ParentId":"","RepoDigests":["deploy.bocloud/paas/postgresql-photon@sha256:f748660abdd45316fbcee918017591b367020b5129d4e79a718a6c40e7dea326"],"RepoTags":["deploy.bocloud/paas/postgresql-photon:v1.5.0"],"SharedSize":-1,"Size":221102591,"VirtualSize":221102591},{"Containers":-1,"Created":1497986555,"Id":"sha256:930044c045e082b0b2bdded18bb16ee1a115f12942a773ae0e163c9e0417e3ba","Labels":{},"ParentId":"","RepoDigests":["deploy.bocloud/paas/clair@sha256:9bf420f9e3af9377133a0e439b9aaf7f849dfdceaa0af0b9983166337e86bbbf"],"RepoTags":["deploy.bocloud/paas/clair:v2.0.1"],"SharedSize":-1,"Size":386887602,"VirtualSize":386887602}]

参考文档

起航zhang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker设置TLS,保证端口2375的安全连接。亲测可用~
qq971473597的博客
07-31 1507
前提:登录服务器,创建一个保存证书的文件夹。 我的路径是 /home/bright/ca 1.生成私有和公有秘钥 1.1 输入命令 openssl genrsa -aes256 -out ca-key.pem 4096 会有提示:Enter pass phrase for ca-key.pem: 输入,并记住这个ca-key密码! 1.2 输入命令 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 会有提示:Ente
Docker设置2375端口
newbie158的博客
03-13 1586
Docker设置2375端口1.查看docker.service文件位置2.修改docker.service文件 1.查看docker.service文件位置 systemctl status docker docker.service路径为: /usr/lib/systemd/system/docker.service 2.修改docker.service文件 ...
docker 开放 2375端口
学亮编程手记
08-19 391
编辑docker 文件 vi /usr/lib/systemd/system/docker.service 在 ExecStart 行最后面加入红框中的内容 -H tcp://0.0.0.0:2375
Docker实战 | 第五篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
舞鹤白沙编码日志
10-04 1359
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。.
Docker服务开放了2375这个端口,服务器引起安全漏洞!
weixin_45972606的博客
09-15 1482
使用docker-maven-plugin打包SpringBoot应用的Docker镜像时,服务器需要开放2375端口。会引起安全漏洞,被人入侵、挖矿、CPU飙升发生,使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 1.首先创建一个目录用于存储生成的证书和秘钥 mkdir /mydata/docker-ca && cd /mydata/docker-ca 创建CA证书私钥,期间需要输入两次用户名和密码,生成文件为ca-key.pem; openssl ge
Docker Swarm 管理资源.rar
05-15
- **TLS加密**:默认情况下,Swarm使用TLS对节点间的通信进行加密,确保数据的安全传输。 - **服务隔离**:每个服务都有自己的命名空间,包括网络、卷和命名空间,从而实现服务之间的隔离。 6. **伸缩性** ...
Docker开启远程安全访问的图文教程详解
09-29
我们需要编辑这个文件,找到`[Service]`节,并修改`ExecStart`属性,添加 `-H tcp://0.0.0.0:2375` 参数,以便Docker守护进程监听所有网络接口的2375端口。修改后的行应该如下所示: ```bash ExecStart=/usr/bin/...
graylog2使用说明(docker)
07-24
### docker 日志添加到graylog ``` docker run --log-driver=gelf \ --log-opt gelf-address=udp://10.121.60.2:12201 \ --log-opt tag=test1 \ -v /etc/localtime:/etc/localtime \ -it nginx /bin/bash ``` ...
docker-meetup-traefik
05-15
例如,当一个新的Docker容器被创建并暴露端口时,Traefik会自动检测并添加相应的路由规则,将外部请求导向正确的服务。 5. **使用流程**:创建Docker容器时,通过指定特定的标签(如`traefik.frontend.rule`和`...
docker-homeserver:使用traefik
02-10
每个家庭服务器应用的Docker容器也需要配置,以使用traefik的网络,并添加元数据标签来指定traefik如何路由到它们。例如: ```yaml services: media_center: image: some/media-center-image networks: - ...
Docker启用TLS实现安全配置的步骤
01-10
前言 之前开启了docker2375 Remote API,接到公司安全部门的要求,需要启用授权,翻了下官方文档 Protect the Docker daemon socket 启用TLSdocker服务器,生成CA私有和公共密钥 $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..................................................................................
Docker 2375端口安全问题】生成证书解决Docker 2375的端口问题
最新发布
lljj10的博客
11-25 770
Docker 2375 安全问题
docker开放2375端口设置TLS和CA认证
感谢关注点赞,笔芯啾咪!
03-15 1004
需求:最近要使用idea的docker插件来实现持续集成和部署运行的功能,就在服务器开放了2375端口,但是后续问题就来了,2375没有任何的保护措施,只要知道服务器ip就可以操控镜像和容器,后续服务器就被各种挖矿程序植入,导致内存和cpu爆满,所以为了解决这个安全问题,做了TLS和CA认证。 1.在服务器创建CA文件目录(自己指定,后续所有操作都在必须此目录下进行) mkdir /salong/docker-ca cd /salong/docker-ca 2.创建CA证书私钥,期间需要输入.
Docker开启TLS和CA认证, 解决暴露2375端口引发的安全漏洞, 并使用idea连接并推送镜像
buhghb68ty7的博客
09-29 892
Docker AC认证教程 解决暴露2375端口引发的安全漏洞 使用idea连接并使用Maven推送启动镜像
docker 开启端口 2375 供外部程序访问 (不推荐,容易被黑客利用)
Eistert
01-10 417
说明 该方法有漏洞,容易被黑客远程放入挖矿机镜像,开启需做好防范。 操作 Docker服务文件位置 /usr/lib/systemd/system/docker.service 编辑 docker.service 找到Service标签下的ExecStart属性 注释掉原来的 , 添加如下内容 ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock --containerd=/run/containerd
Docker对外开放2375端口引发安全漏洞分析与解决方案
QT2016
07-03 9328
Docker对外开放2375端口引发安全漏洞分析与解决方案
配置开启Docker2375远程连接与解决Docker未授权访问漏洞
Sherry
11-13 4763
配置开启Docker2375远程连接与解决Docker未授权访问漏洞。
docker 开启2375端口,提供外部访问docker,idea连接服务器docker
霓虹深处
05-07 7206
Docker暴露2375端口,引起安全漏洞,需谨慎 如何修复该漏洞 如果要安全的管理远程Docker主机,应该怎么做呢?其实,Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了。 首先要准备5个证书和秘钥文件,分别是ca.pem、server-cert.pem、server-key.pem、client-cert.pem和client-key.pem。其中,s...
Linux中mkdir:cannot create directory问题解决
热门推荐
u013273161的博客
10-12 12万+
1.想使用mkdir命令创建一个目录结果提示 linux-77@ubuntu:~$ mkdir 123 mkdir: cannot create directory ‘123’: No space left on device 2.查询资料是因为$代表普通用户模式,权限不够, 可以进入root帐号在建立文件夹 进入root帐号 ,打 su -(su - 切换到root用户,并转到root用...
DockerTLS配置文档
08-12
- 编辑或创建 `/etc/docker/daemon.json` 文件,并添加以下内容: ``` { "tls": true, "tlscacert": "/etc/docker/certs.d/ca.pem", "tlscert": "/etc/docker/certs.d/server-cert.pem", "tlskey": "/etc/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值