Docker容器--TLS安全管理

已于 2024-07-04 12:44:52 修改
阅读量794 收藏
点赞数 1
分类专栏: # Docker 文章标签: docker centos openssl
于 2021-03-16 21:51:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46480020/article/details/114901345
版权

文章目录

一、Docker remote api 访问

Docker的远程调用API接口存在未授权访问的漏洞,至少也应该限制外网访问,这里配置使用Socket方式访问。
这里我们使用centos7 ip:192.168.100.101作为被访问方;
centos7 ip:192.168.100.100作为远程调用方。
使用

docker -d -H unix:///var/run/docker.sock -H tcp://192.168.100.101:2375

或者

vim /usr/lib/systemd/system/docker.service
##添加配置
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://192.168.100.101:2375

systemctl daemon-reload
systemctl restart docker

###查看2375端口是否开启
[root@compute1 ~]# netstat -anpt | grep 2375
tcp        0      0 192.168.100.101:2375    0.0.0.0:*               LISTEN      96472/dockerd

然后在宿主机的firewalld上做IP访问控制即可,或者关闭firewalld,不做策略。

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.100.100" port protocol="tcp" port="2375" accept"
firewall-cmd --reload

###查看firewall rich-rules
[root@compute1 ~]# firewall-cmd --list-rich-rules 
rule family="ipv4" source address="192.168.100.100" port port="2375" protocol="tcp" accept

测试远程调用docker

docker -H tcp://192.168.100.101 images
##远程调用192168.100.101的docker images命令

docker -H tcp://192.168.100.101 ps -a
##远程调用192.168.100.101的docker ps -a命令

二、Docker-TLS加密

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。

mkdir /tls
cd /tls

hostnamectl set-hostname master
su

vim /etc/hosts
127.0.0.1   master

1. 创建ca密钥
openssl genrsa -aes256 -out ca-key.pem 4096 //输入123123
2. 创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem  //输入123123
3. 创建服务器私钥
openssl genrsa -out server-key.pem 4096 
4. 签名私钥
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
5. 使用ca证书与私钥证书签名,输入123123
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
6. 生成客户端密钥
openssl genrsa -out key.pem 4096
7. 签名客户端
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
8. 创建配置文件
echo extendedKeyUsage=clientAuth > extfile.cnf
9. 签名证书,输入123123,需要(签名客户端,ca证书,ca密钥)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
10. 删除多余文件
rm -rf ca.srl client.csr extfile.cnf server.csr
11. 配置docker
vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

systemctl daemon-reload
systemctl restart docker

scp ca.pem root@192.168.100.100:/etc/docker/
scp cert.pem root@192.168.100.100:/etc/docker/
scp key.pem root@192.168.100.100:/etc/docker/

验证

  1. 本地验证
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
  1. client验证
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 images
努努&威朗普
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
docker-nginx-tls:负责轮换证书的补充容器
05-02
Nginx TLS Sidekick 一个小型实用程序容器,负责在nginx代理上轮换证书。 Usage: run.sh -c | --confd DIRECTORY : the path of the nginx conf.d directory (default /etc/nginx/conf.d) -d | --dir DIRECTORY ...
centos docker remoteapi 配置
haizhuitiandi的博客
12-22 599
CentOS7: /usr/lib/systemd/system/docker.service 修改一行:ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock systemctl daemon-reload systemctl restart docker.service 3. 测
Docker远程连接和Docker Remote Api
永远不会懂
05-27 5727
Docker生态系统中一共有3种API:Registry APIDocker Hub APIDocker Remote API这三种API都是RESTful风格的。这里Remote API是通过程序与Docker进行集成和交互的核心内容。Docker Remote API是由Docker守护进程提供的。默认情况下,Docker守护进程会绑定到一个所在宿主机的套接字:unix:///var/r...
docker api未授权导致rce 漏洞修复
core815的专栏
05-26 1731
docker api未授权导致rce 漏洞修复
Docker资源控制与TLS加密通信
weixin_47151717的博客
09-26 783
文章目录Docker资源控制使用stress工作测试cpu和内存cup周期限制CPU Core 控制cpu配额控制参数的混合使用内存限额IO限制bps和iops的限制Docker-TLS加密通信实验需求远程连接docker 文章目录Docker资源控制使用stress工作测试cpu和内存cup周期限制CPU Core 控制cpu配额控制参数的混合使用内存限额IO限制bps和iops的限制Docker-TLS加密通信实验需求远程连接docker() Docker资源控制 Docker通过Cgroup 来控
Docker 2375 端口入侵服务器,部分解决方案
十年呵护的专栏
07-01 2022
docker remote API的同学对2375端口入侵服务器 2375->上传镜像-》获取控制权-》ssh pub key 注入-》登入服务器 核心总结: 1.禁用2375 2.创建linux新用户 3.禁止root远程登录 4.卸载重新安装docker,并删除之前的文件 5.禁止外网 一、创建新用户以及授权 创建用户 adduser limp用户名 更改密码 passwd limp用户名 方法:修改 /etc/passwd 文件,找到如下行,把用户I...
docker push私有仓库非ssl模式
liujiangxu
08-16 984
报错ssl拒绝连接 harbor当时搭建已经注释掉ssl部分 [root@10.1.74.19 jenkins]# docker login http://harbor.od.com Username: admin Password: Error response from daemon: Get https://harbor.od.com/v2/: dial tcp 10.1.133.7:443: getsockopt: connection refused [root@10.1.74.19 jenki
基于ARM64架构CPU使用docker-compose一键离线部署etcd v3.5.15容器版分布式TLS集群工具
08-13
实现功能如下: 1、支持SSL模式单机部署(1 etcd),证书有效期为100年。 2、支持SSL模式单机伪集群部署(3 etcd),证书有效期为100年。 3、支持SSL模式多机分布式机部署(3 etcd),证书有效期为100年。...
使用docker-compose一键离线部署consul v1.18.1容器版ACL/TLS分布式集群工具
最新发布
09-05
2、支持ACL+TLS,证书有效期为100年。 3、支持单实例部署 4、支持单机伪集群部署(3 server + 1 client) 5、支持多机分布式集群部署(3 server + 1 client) 6、支持数据目录、日志目录、端口、ACL令牌token、...
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
DockerDocker Remote API 访问控制
01-09
Docker Remote API 访问控制 Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问,监听内网 ip,docker daemon 启动方式如下: [root@localhost ~]# vim /usr/lib/systemd/system/docker.service ##更改插入如下内容 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock ExecStart=/usr/bin/dockerd -H unix:/
docker-socket-proxy:通过您的Docker套接字代理以限制其接受的请求
02-01
该映像不包括TLS支持,仅是主机Docker Unix套接字的普通HTTP代理(即使您为主机配置了TLS保护,该TLS也不受TLS保护)。 这是设计使然,因为您应该限制通过Docker的内置防火墙对其的访问。 您正在使用的API版本,...
docker远程开启TLS配置后,如何禁止本地连接到daemon?
zzb7728317的博客
05-20 612
各位docker大神,请问docker开启远程TLS连接后,有配置客户端白名单的配置吗? 开启远程后,如何禁止本地docker客户端连接docker daemon呢? 谢谢
Docker高级应用---远程TLS管理安全认证)
weixin_47151643的博客
09-26 1437
文章目录一、Docker 容器与虚拟机的区别二、Docker 存在的安全问题三、Docker 架构缺陷与安全机制四:Dcoker-TLS加密实战4.1:TLS概述4.2:为什么要使用TLS加密4.3:docker-TLS部署 前言 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具.
「Java工具类」BeanCopyUtil对象复制工具类
热门推荐
Java Farmer
10-31 1万+
介绍语 本号主要是Java常用关键技术点,通用工具类的分享;以及springboot+springcloud+Mybatisplus+druid+mysql+redis+swagger+maven+docker等集成框架的技术分享;datax、kafka、flink等大数据处理框架的技术分享。文章会不断更新,欢迎码友关注点赞收藏转发! 望各位码友点击关注,冲1000粉。后面会录制一些视频教程,图文和视频结合,比如:图书介绍网站系统、抢购系统、大数据中台系统等。技术才是程序猿的最爱,码友们冲啊 如果码友
docker如何关闭证书认证
liqinglonguo的博客
04-29 735
docker认证证书过期了,项目又要马上上线怎么办?重新生成证书,时间来不及,这时最快的方法就是关闭证书认证。
Docker安全管理TLS加密通讯)
boyuser的博客
12-03 508
TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。
Docker远程访问控制的安全问题(Docker remote api 访问控制)以及Docker-TLS加密通讯 操作测试
weixin_50344807的博客
03-17 2196
文章目录Docker remote api 访问控制客户端操作实现远程调用Docker-TLS加密通讯客户端测试 环境: 名字 ip master 20.0.0.100 client 20.0.0.101 Docker remote api 访问控制 Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问。 监听内网 ip,docker daemon 启动方式如下。 docker -d -H uninx:///var/run/do
Docker Remote API 越权漏洞
人猿进化论
12-06 623
Docker Remote API 漏洞
DockerTLS配置文档
08-12
您好!以下是DockerTLS配置文档: 1. 首先,确保您已经安装了Docker。如果没有安装,请参考Docker官方文档进行安装。 2. 生成TLS证书和密钥: - 创建一个用于存储证书和密钥的目录,例如 `/etc/docker/certs.d`。 - 使用以下命令生成CA证书和私钥: ``` $ openssl genrsa -aes256 -out ca-key.pem 4096 $ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem ``` - 使用以下命令生成服务器证书和私钥: ``` $ openssl genrsa -out server-key.pem 4096 ***.pem -out server.csr $ echo subjectAltName = IP:<your-server-ip>,IP:127.0.0.1 > extfile.cnf $ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf ``` - 使用以下命令生成客户端证书和私钥: ``` $ openssl genrsa -out key.pem 4096 *** $ echo extendedKeyUsage = clientAuth > extfile-client.cnf $ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf ``` 3. 配置Docker守护进程: - 编辑或创建 `/etc/docker/daemon.json` 文件,并添加以下内容: ``` { "tls": true, "tlscacert": "/etc/docker/certs.d/ca.pem", "tlscert": "/etc/docker/certs.d/server-cert.pem", "tlskey": "/etc/docker/certs.d/server-key.pem", "tlsverify": true } ``` - 重新启动Docker守护进程,使配置生效。 4. 配置Docker客户端: - 将客户端证书和密钥复制到客户端机器上的适当位置,例如 `/etc/docker/certs.d/client.pem` 和 `/etc/docker/certs.d/key.pem`。 - 设置环境变量 `DOCKER_TLS_VERIFY` 为 `1`。 - 设置环境变量 `DOCKER_CERT_PATH` 为证书和密钥的存储路径,例如 `/etc/docker/certs.d`。 现在,您已经完成了DockerTLS配置。通过使用TLS证书和密钥,您可以保护Docker守护进程和与之通信的客户端之间的通信安全性。请确保妥善保管生成的证书和密钥文件,并仅将其提供给受信任的实体。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值