Docker容器--TLS安全管理

最新推荐文章于 2023-11-24 22:00:55 发布
最新推荐文章于 2023-11-24 22:00:55 发布
阅读量643 收藏
点赞数 1
文章标签: docker centos openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46480020/article/details/114901345
版权

文章目录

一、Docker remote api 访问

Docker的远程调用API接口存在未授权访问的漏洞,至少也应该限制外网访问,这里配置使用Socket方式访问。
这里我们使用centos7 ip:192.168.100.101作为被访问方;
centos7 ip:192.168.100.100作为远程调用方。
使用

docker -d -H unix:///var/run/docker.sock -H tcp://192.168.100.101:2375

或者

vim /usr/lib/systemd/system/docker.service
##添加配置
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://192.168.100.101:2375

systemctl daemon-reload
systemctl restart docker

###查看2375端口是否开启
[root@compute1 ~]# netstat -anpt | grep 2375
tcp        0      0 192.168.100.101:2375    0.0.0.0:*               LISTEN      96472/dockerd

然后在宿主机的firewalld上做IP访问控制即可,或者关闭firewalld,不做策略。

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.100.100" port protocol="tcp" port="2375" accept"
firewall-cmd --reload

###查看firewall rich-rules
[root@compute1 ~]# firewall-cmd --list-rich-rules 
rule family="ipv4" source address="192.168.100.100" port port="2375" protocol="tcp" accept

测试远程调用docker

docker -H tcp://192.168.100.101 images
##远程调用192168.100.101的docker images命令

docker -H tcp://192.168.100.101 ps -a
##远程调用192.168.100.101的docker ps -a命令

二、Docker-TLS加密

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。

mkdir /tls
cd /tls

hostnamectl set-hostname master
su

vim /etc/hosts
127.0.0.1   master

1. 创建ca密钥
openssl genrsa -aes256 -out ca-key.pem 4096 //输入123123
2. 创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem  //输入123123
3. 创建服务器私钥
openssl genrsa -out server-key.pem 4096 
4. 签名私钥
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
5. 使用ca证书与私钥证书签名,输入123123
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
6. 生成客户端密钥
openssl genrsa -out key.pem 4096
7. 签名客户端
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
8. 创建配置文件
echo extendedKeyUsage=clientAuth > extfile.cnf
9. 签名证书,输入123123,需要(签名客户端,ca证书,ca密钥)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
10. 删除多余文件
rm -rf ca.srl client.csr extfile.cnf server.csr
11. 配置docker
vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

systemctl daemon-reload
systemctl restart docker

scp ca.pem root@192.168.100.100:/etc/docker/
scp cert.pem root@192.168.100.100:/etc/docker/
scp key.pem root@192.168.100.100:/etc/docker/

验证

  1. 本地验证
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
  1. client验证
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 images
银痕
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
docker-nginx-tls:负责轮换证书的补充容器
05-02
Nginx TLS Sidekick 一个小型实用程序容器,负责在nginx代理上轮换证书。 Usage: run.sh -c | --confd DIRECTORY : the path of the nginx conf.d directory (default /etc/nginx/conf.d) -d | --dir DIRECTORY : the directory which contains the certificates (default /etc/secrets) -p | --proxy SPEC : the specification for a proxy -h | --help : display this usage menu 用法 [jest@starfury d
Docker Remote api安全中的应用杂谈
大方子
10-02 1858
注:本文为“小米安全中心”原创,作者: netxfly  ,转载请联系“小米安全中心” 概述 众所周知,Docker daemon默认是监听在unix socket上的,如unix:///var/run/docker.sock。 官方还提供一个Rustful api接口,允许通过TCP远程访问Docker,例如执行以下启动参数可以让docker监听在本地所有地址的2375端口上: doc...
Docker Remote API配置与使用
jiayu的博客
04-18 1389
本文中,我们将使用命令行工具cURL来处理url相关操作。cURL可以发送请求、获取以及发送数据、检索信息。“unix:///var/run/docker.sock”:unix socket,本地客户端将通过这个来连接 Docker Daemon。“tcp://0.0.0.0:2375”:tcp socket,表示允许任何远程客户端通过 2375 端口连接 Docker Daemon。
Docker Remote API 使用详解
最新发布
J_Lee
11-24 1837
Docker Remote API 使用详解
Docker远程访问控制的安全问题(Docker remote api 访问控制)以及Docker-TLS加密通讯 操作测试
weixin_50344807的博客
03-17 1922
文章目录Docker remote api 访问控制客户端操作实现远程调用Docker-TLS加密通讯客户端测试 环境: 名字 ip master 20.0.0.100 client 20.0.0.101 Docker remote api 访问控制 Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问。 监听内网 ip,docker daemon 启动方式如下。 docker -d -H uninx:///var/run/do
Docker远程连接和Docker Remote Api
永远不会懂
05-27 5679
Docker生态系统中一共有3种API:Registry APIDocker Hub APIDocker Remote API这三种API都是RESTful风格的。这里Remote API是通过程序与Docker进行集成和交互的核心内容。Docker Remote API是由Docker守护进程提供的。默认情况下,Docker守护进程会绑定到一个所在宿主机的套接字:unix:///var/r...
docker api未授权导致rce 漏洞修复
core815的专栏
05-26 1318
docker api未授权导致rce 漏洞修复
Docker资源控制与TLS加密通信
weixin_47151717的博客
09-26 573
文章目录Docker资源控制使用stress工作测试cpu和内存cup周期限制CPU Core 控制cpu配额控制参数的混合使用内存限额IO限制bps和iops的限制Docker-TLS加密通信实验需求远程连接docker 文章目录Docker资源控制使用stress工作测试cpu和内存cup周期限制CPU Core 控制cpu配额控制参数的混合使用内存限额IO限制bps和iops的限制Docker-TLS加密通信实验需求远程连接docker() Docker资源控制 Docker通过Cgroup 来控
Docker 2375 端口入侵服务器,部分解决方案
十年呵护的专栏
07-01 1915
docker remote API的同学对2375端口入侵服务器 2375->上传镜像-》获取控制权-》ssh pub key 注入-》登入服务器 核心总结: 1.禁用2375 2.创建linux新用户 3.禁止root远程登录 4.卸载重新安装docker,并删除之前的文件 5.禁止外网 一、创建新用户以及授权 创建用户 adduser limp用户名 更改密码 passwd limp用户名 方法:修改 /etc/passwd 文件,找到如下行,把用户I...
docker push私有仓库非ssl模式
liujiangxu
08-16 745
报错ssl拒绝连接 harbor当时搭建已经注释掉ssl部分 [[email protected] jenkins]# docker login http://harbor.od.com Username: admin Password: Error response from daemon: Get https://harbor.od.com/v2/: dial tcp 10.1.133.7:443: getsockopt: connection refused [[email protected] jenki
DockerDocker Remote API 访问控制
01-09
Docker Remote API 访问控制 Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问,监听内网 ip,docker daemon 启动方式如下: [root@localhost ~]# vim /usr/lib/systemd/system/docker.service ##更改插入如下内容 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock ExecStart=/usr/bin/dockerd -H unix:/
docker-socket-proxy:通过您的Docker套接字代理以限制其接受的请求
02-01
该映像不包括TLS支持,仅是主机Docker Unix套接字的普通HTTP代理(即使您为主机配置了TLS保护,该TLS也不受TLS保护)。 这是设计使然,因为您应该限制通过Docker的内置防火墙对其的访问。 您正在使用的API版本,...
stubby-docker:通过将Stubby与Unbound相结合,获得DNS-over-TLS转发的全部功能
05-22
未绑定和Stubby Docker映像这是做什么的? 这样,您可以运行Stubby以获得比Unbound提供的更好的TLS支持的DNS,而不会失去使用本地缓存DNS解析器的性能优势。 根据: 可以使用DNS-over-TLS将Unbound配置为本地转发器...
docker-gophish:Docker容器的gophish
04-07
码头工人docker create \ --name=gophish \ -p 443:443 \ -p 3333:3333 \ -v <path>:/data \ --restart unless-stopped \ warhorse/gophish码头工人组成与docker-compose v2模式兼容。 ---version: "2"services: ...
docker-saltpad:SaltPad 的 Docker 容器
06-09
SaltPad 的 Docker 容器: ://saltpad.readthedocs.org/en/latest/ 建造 要创建映像bbinet/saltpad ,请在docker-saltpad文件夹中执行以下命令: docker build -t bbinet/saltpad . 您现在可以将新映像推送到公共...
docker-服务管理和远程访问
godme
09-16 522
服务管理 # 这个或许不用多说,docker服务本身运行在linux上,利用liinux本身的服务管理即可 # 启动 sudo service docker start # 状态 sudo service docker status # 关闭 sudo service docker stop #重启 sudo service docker restart 访问模式 # 之前说过,...
关于docker rest api接口组件docker remote api的使用
weixin_34293911的博客
11-08 523
前提: docker remote apidocker自带的一个rest api 管理。 只要在配置文件里面申明下就可以了。 下面是docker remote api的官方的功能目录: Docker Remote API v1.3 3.1 Inside ‘docker run’ 3.2 Hijacking 3.3 ...
docker remote API 漏洞复现
顶峰
04-03 350
引用网上的一些总结流程1. Docker是以root权限运行的,这是所有姿势的前提1.Docker在运行一个容器的时候可以将宿主机上的一个目录挂载到容器内的一个目录,我们可以参考redis未授权访问漏洞,将宿主机的/root/.ssh目录挂载到容器上,然后写入公钥。如果有web目录的话,最差也能上一个webshell。1.
docker远程开启TLS配置后,如何禁止本地连接到daemon?
zzb7728317的博客
05-20 595
各位docker大神,请问docker开启远程TLS连接后,有配置客户端白名单的配置吗? 开启远程后,如何禁止本地docker客户端连接docker daemon呢? 谢谢
展示docker --help所有内容并解释
05-30
抱歉,我不能在这里展示完整的 "docker --help" 内容,因为它非常长,并且超过了限制。但是,我可以解释一下其中的一些基本内容: ``` Usage: docker [OPTIONS] COMMAND A self-sufficient runtime for containers Options: -D, --debug Enable debug mode -H, --host list Daemon socket(s) to connect to -l, --log-level string Set the logging level ("debug"|"info"|"warn"|"error"|"fatal") (default "info") --tls Use TLS; implied by --tlsverify --tlscacert string Trust certs signed only by this CA (default "/etc/docker/ca.pem") --tlscert string Path to TLS certificate file (default "/etc/docker/server.pem") --tlskey string Path to TLS key file (default "/etc/docker/server-key.pem") --tlsverify Use TLS and verify the remote -v, --version Print version information and quit Commands: attach Attach local standard input, output, and error streams to a running container build Build an image from a Dockerfile commit Create a new image from a container's changes cp Copy files/folders between a container and the local filesystem create Create a new container diff Inspect changes to files or directories on a container's filesystem ... Run 'docker COMMAND --help' for more information on a command. ``` 这是docker命令行帮助的基本格式。它告诉我们如何使用docker命令,并列出了一些常用的选项和命令。 - `Usage`: 显示如何使用docker命令,包括选项和命令。 - `Options`: 显示可用的选项,例如设置日志级别、使用TLS等。 - `Commands`: 显示可用的命令,例如创建、启动、停止、删除容器等。 可以使用 "docker COMMAND --help" 命令查看每个命令的详细选项和用法。例如,使用 "docker run --help" 命令可以查看 "run" 命令的帮助文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值