使用TLS解决Docker API暴露2375端口的问题

最新推荐文章于 2024-09-10 17:17:02 发布
最新推荐文章于 2024-09-10 17:17:02 发布
阅读量699 收藏 9
点赞数 20
文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41892775/article/details/141951426
版权

问题起因

由于本人开发环境是在 Windows,开发完成后需要使用 Dockerfile 打包镜像,这个过程需要有一个 Docker 服务完成,Windows 安装 Docker 会影响到很多环境,我又不想本地开虚拟机使用 Docker,于是我就索性使用服务器上的 Docker,并放开了 2375 端口,这个是 Docker 默认 API 的端口,于是就可以很愉快的打包发布了。

但是没过几天,我就收到阿里云的告警,服务器负载长时间在 100%,服务器卡得不行,上服务器一看,不知道为什么多了几个没见过的 Docker 镜像以及很多不认识的容器,于是判断服务器应该是被黑客入侵了,被用来挖矿了,而入侵的入口就是 Docker 的 2375端口。

解决方法

解决方法最简单的就是尽量不要启用 API 功能,或者把默认端口改一下,但是这个也是只能解决一时的问题,后来查询资料,找到了使用 TLS 通信机制的解决方法。解决方法的过程如下:

  1. 生成一系列证书和文件
    # 创建一个文件夹,用于存放需要用到的证书等信息
mkdir -p ~/docker-certs
cd ~/docker-certs
# 生成一个 CA(证书颁发机构)私钥,CA私钥用于为服务器或客户端证书生成签名。这个签名证明了该证书是由可信的 CA 颁发的。当服务器或客户端收到证书时,它会用 CA 的公钥来验证证书的签名。如果验证通过,意味着该证书确实是由该 CA 颁发的,确保了证书持有者的身份合法性。
openssl genrsa -aes256 -out ca-key.pem 4096
# 生成 key 的过程中,可能会出现要求输入 Enter pass phrase for ca-key.pem,这个相当于私钥的密码,能够进一步保证私钥的安全,哪怕别人获取到你的私钥,也不能直接使用,要输入密码。

# 用 CA私钥自签名生成一个 CA 的证书,CA证书用于验证 CA 身份的合法性,要信任某个证书,关键就是要信任CA的证书。
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
# 创建服务器端私钥和证书
openssl genrsa -out server-key.pem 4096
openssl req -new -key server-key.pem -out server.csr
# CA 为服务端证书签名
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
# 创建客户端私钥和证书
openssl genrsa -out key.pem 4096
openssl req -new -key key.pem -out client.csr
# 签署客户端证书
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem
  2. 移除不必要的 CSR 文件
    rm -v server.csr client.csr
  3. 设置权限
    chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
  4. 修改 /usr/lib/systemd/system/docker.service 文件
    vim /usr/lib/systemd/system/docker.service
    ExecStart 那改成:
    ExecStart=/usr/bin/dockerd \
--tlsverify \
--tlscacert=/root/docker-certs/ca.pem \
--tlscert=/root/docker-certs/server-cert.pem \
--tlskey=/root/docker-certs/server-key.pem \
-H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock \
-H fd:// --containerd=/run/containerd/containerd.sock
  5. 重启 Docker 服务
    systemctl daemon-reload && systemctl restart docker
  6. 客户端所在机器找个地方存放 ca.pem、cert.pem、key.pem 三个文件,并且添加以下三个环境变量:
    DOCKER_HOST=tcp://你 docker 所在的IP地址:2376
DOCKER_CERT_PATH=存放三个文件的地方
DOCKER_TLS_VERIFY=1
  7. 然后测试即可
初衷不改~
关注
  • 20
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何使用 TLS 保护 Docker 的 TCP 套接字
学海无涯苦作舟的博客
03-05 1838
DockerAPI 默认情况下完全不受保护,除了其 Unix 套接字上的文件系统权限。您应该在通过 TCP 公开 Docker API时设置 TLS,以便 Docker 引擎和您的客户端可以验证彼此的身份。否则,任何有权访问 TCP 端口的人都可以浏览您的 Docker 容器、启动新容器并像root在您的系统上一样运行操作。 配置的 TLS 将要求客户端提供由服务器证书颁发机构签名的有效证书。要使其正常工作,您需要创建 SSL 证书,然后设置 Docker Engine 以要求 TLS 连接。还必须.
Docker实战 | 第四篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
有来技术
12-13 1051
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。意
Docker开启Remote API 访问 2375端口
qq_21007661的博客
05-19 534
docker默认没有开启remote api,需要手动开启。 修改配置文件 /lib/systemd/system/docker.service中 ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375 重启docker服务 sudo systemctl daemon-reload sudo service docker restart ...
windows环境下的设置docker远程访问(开放2375端口)
一起coding,一起嗨。
03-21 4924
使用管理员打开powershell,执行下边命令。1、设置暴露2375端口使用安全传输层协议。2、设置配置文件暴露2375端口。3、重启Docker。一、设置docker
Docker实战 | 第五篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
舞鹤白沙编码日志
10-04 1376
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。.
[docker] docker 安全知识 - docker api, 权限提升 & 资源管理
GoldenaArcher的博客
05-29 1297
这是 docker 安全的最后一篇。
Docker(十二)2375的血泪
wzj_110的博客
09-28 1354
记录一年前'百度云的docker服务器'被'挖矿' 一 docker的远程连接 docker remote API --> 2375docker远程操控的'默认端口' 场景: 为了'方便IDEA调试','未经过TLS加密'-->没有'设置CA证书',通过'2375端口'可以'直接对远程的docker daemon进行操作,导致'被黑' 配置 '注意:服务侧关闭firewalld和selinux' --> systemctl stop firewa...
使用python api调用docker
Hello_Bytes
02-26 3419
使用python api调用docker 卸载安装docker(Centos) 卸载docker sudo yum remove docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine 安装docker 配置仓库 sudo yum install -y yum-utils device-mapper-persis.
ECS中Docker配置TLS和idea链接dokcer实践
jhyfugug的博客
11-03 292
Jmeter+influxdb+Grafana+Docker 初步实践
docker-socket-proxy:通过您的Docker套接字代理以限制其接受的请求
02-01
切勿将此容器端口暴露给公共网络。 仅适用于仅驻留代理本身和使用代理的服务的Docker网络。 撤消对您认为不需要服务的任何API部分的访问。 该映像不包括TLS支持,仅是主机Docker Unix套接字的普通HTTP代理(即使...
容器技术---(一)Docker
sss
11-30 1054
docker官网:Container Runtime with Docker Engine | Dockerhttps://www.docker.com/products/container-runtime?spm=a2c6h.13651104.0.0.6d9072ffL2HnED 安装docker 配置docker-ce软件仓库 此时yum install -y docker-ce会报错提示需要安装相关依赖包 配置所需依赖包的软件仓库 安装完成并启用docker
使用 Docker + DockerCompose 封装 web 应用
架构大师笔记
02-27 4602
这篇文章会介绍如何将后端、前端和网关通通使用 Docker 容器进行运行,并最终使用 DockerCompose 进行容器编排。 技术栈 前端 React Ant Design 后端 Go Iris 网关 Nginx OpenResty Lua 企业微信 后端构建 api 这里虽然我们写了 EXPOSE 4182,这个只用在测试的时候,生产环境实际上我们不会将后端接口端口进行暴露, 而是通过容器间的网络进行互相访问,以及最终会使用 Nginx 进行转发。 FROM golang:1.15.5.
如何使用Docker快速启动Nginx服务器
一起coding,一起嗨。
09-07 687
如何使用Docker快速启动Nginx服务器
Docker 容器中镜像导出/导入
最新发布
kfashfasf的博客
09-10 628
利用命令查看要导出的镜像。这表示它处理的是镜像,通常用于在不同的 Docker 主机之间迁移 Docker image,离线环境下安装 Docker image主要处理的是容器本身,‌通常用于快速备份或转移某个容器,或在需要将容器升级到新的版本之前,对其进行测试。
x86的Docker环境下载ARM版容器镜像
shanshanqwertyuiop的博客
09-07 385
内网是信创ARM环境,需要从外网下载镜像,但外网的docker环境是X86环境,此时需要在外网docker环境下载ARM版容器镜像。
第十章 【后端】环境准备(10.5)——Docker
qdbest的专栏
09-08 751
Docker 安装文档:https://docs.docker.com/install/linux/docker-ce/centos/测试 docker 常用命令,注意切换到 root 用户下。配置 docker 镜像加速。安装 Docker-CE。
docker打印容器启动命令和输出dockerfile
liujiangxu
09-10 357
例如想学习研究官方dockerfile写法可直接导出文件,安装方式如runlike一致。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值