docker开放2375端口设置TLS和CA认证

最新推荐文章于 2024-08-14 18:31:08 发布
最新推荐文章于 2024-08-14 18:31:08 发布
阅读量1k 收藏 11
点赞数 1
分类专栏: 笔记 文章标签: docker 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59517460/article/details/128364884
版权

Docker TLS CA认证 安全配置 证书生成
关键词由CSDN通过智能技术生成

最近使用idea的docker插件,这个插件我们可以使用tcp的方式连接,但是这种连接方式非常不安全,开放的2375端口非常容易给人入侵,然后整个docker被人控制,这是非常危险的,所以为了解决这个安全问题,做了TLS和CA认证。

1.新建CA文件目录

mkdir /www/docker/ca

2.切换到创建的ca文件夹下

cd /www/docker/ca

3.创建CA证书私钥,输入确认两次密码

openssl genrsa -aes256 -out ca-key.pem 4096

4.输入之前设置的密码,然后依次输入国家是 CN,省份、城市、公司、单位、服务器公网IP地址、邮件地址。

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

5.创建服务端私钥,生成文件为server-key.pem

openssl genrsa -out server-key.pem 4096

 6.创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr

openssl req -subj "/CN=服务器公网IP地址" -sha256 -new -key server-key.pem -out server.csr

7.配置白名单,用多个用逗号隔开(0.0.0.0表示所有ip)

echo subjectAltName = IP:你的服务器公网ip,IP:0.0.0.0 >> extfile.cnf

8.将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

9.创建CA证书签名好的服务端证书,期间需要输入CA证书私钥密码,生成文件为server-cert.pem

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
10.创建客户端私钥

openssl genrsa -out key.pem 4096 Generating RSA private key, 4096 bit long modulus

11.创建客户端证书签名请求文件,用于CA证书给客户证书签名,生成文件client.csr

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

12.要使密钥适合客户端身份验证,创建扩展配置文件

echo extendedKeyUsage = clientAuth > extfile-client.cnf

13.创建CA证书签名好的客户端证书,期间需要输入CA证书私钥密码,生成文件为cert.pem

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

14.复制文件

cp server-*.pem  /etc/docker/ && cp ca.pem /etc/docker/

15.修改docker.service文件配置

vi /usr/lib/systemd/system/docker.service

16.修改以ExecStart开头的配置,开启TLS认证,并配置好CA证书、服务端证书和服务端私钥

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

17.重载deamon

systemctl daemon-reload

18.重启docker

service docker restart

19.把文件拷贝到电脑

20.idea连接 

cv魔法师
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker设置TLS,保证端口2375的安全连接。亲测可用~
qq971473597的博客
07-31 1530
前提:登录服务器,创建一个保存证书的文件夹。 我的路径是 /home/bright/ca 1.生成私有和公有秘钥 1.1 输入命令 openssl genrsa -aes256 -out ca-key.pem 4096 会有提示:Enter pass phrase for ca-key.pem: 输入,并记住这个ca-key密码! 1.2 输入命令 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 会有提示:Ente
《伸手系列》之Docker开启2376端口CA认证
御前提笔小书童
01-20 1096
前言 众所周知,docker可以开启远程访问API,但是发现很多都是直接开启2375端口,未做安全配置,从而出现安全隐患,最近在将docker环境统一portainer管理时,发现有这种情况。本文讲解如何开启安全认证的方法,配置TLS保证API的安全。 简单粗暴的开启远程访问 1、开启方式 编辑docker文件:/usr/lib/systemd/system/docker.service vim ...
Docker 2375端口安全问题】生成证书解决Docker 2375端口问题
lljj10的博客
11-25 826
Docker 2375 安全问题
Docker实战 | 第四篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
有来技术
12-13 1031
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。意
配置开启Docker2375远程连接与解决Docker未授权访问漏洞
Sherry
11-13 5045
配置开启Docker2375远程连接与解决Docker未授权访问漏洞。
Docker使用CA认证
AnblackCat的学习笔记
02-03 2427
在idea中一键部署项目到DockerCA认证 不使用 CA 认证的方法在 这里 本文直接开始介绍使用 CA 认证远程连接 docker,不使用 CA 认证也行,在自己的虚拟机里面可以这么干,但是放到联网的服务器上就不建议这么做了,原因是,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的(笔者就是被当成了矿机的一例QwQ)。因此,docker官方...
Docker的安全屏障(CA证书)
zhuwei的博客
08-04 929
Docker安全及日志管理前言一、Docker容器和虚拟机的区别性能损耗隔离与共享docker安全问题自身漏洞源码缺陷三、docker 安全缺陷DDOS攻击资源耗尽系统漏洞共享root用户权限局域网攻击四、docker 安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置五、docker安全配置api远程访问控制限制流量流向创建CA证书 前言 一、Docker容器和虚拟机的区别 性能损耗 与虚拟机相比,容器资源损耗要少。同样的宿主机下,能够建立容器的数量要比虚拟机多。但是,虚拟机的安全性要比容器稍好
Docker开启远程安全访问的图文教程详解
09-29
我们需要编辑这个文件,找到`[Service]`节,并修改`ExecStart`属性,添加 `-H tcp://0.0.0.0:2375` 参数,以便Docker守护进程监听所有网络接口的2375端口。修改后的行应该如下所示: ```bash ExecStart=/usr/bin/...
tls-tofu:实施传输层安全性(TLS)的Docker映像-首次使用信任(TOFU)
04-17
实施传输层安全性(TLS)的Docker映像-首次使用信任(TOFU) 用法 $ docker run \ --rm \ enteee/tls-tofu 环境变量 多变的 描述 强制的 默认 TLS_TOFU 启用TLS-TOFU 不 true TLS_TOFU_HOST 主持人使用TLS-...
docker-container-resource:用于管理 Docker 容器的 Concourse CI 资源
06-05
添加对端口配置的更好支持例子: resources:- name: docker type: docker-container source: host: https://192.168.59.103:2376 name: my-container-name image: redis tls: 1 certs: ca: {{...
DockerProxy:Docker代理将带有Letsencrypt的Https添加到任何容器
03-28
**Let's Encrypt** 是一个免费、自动化和开放的证书颁发机构(CA),提供HTTPS证书,用于加密互联网通信,确保数据传输的安全性。它的自动化流程简化了证书的申请、验证和更新过程,使得即使是小型或个人网站也能...
.Net Core和jexus配置HTTPS服务方法
10-18
Docker是一个用于开发、交付和运行应用程序的开放平台,它使开发者能够打包应用以及应用的依赖包到一个可移植的容器中,然后发布到任何支持Docker的机器上。 jexus是一个轻量级的Web服务器,可以运行在Windows平台...
Docker基础系列之TLSCA认证
囚徒之困
04-01 1325
Docker TLSCA认证
创建Docker TLS 证书
FlonChou
12-10 508
创建Docker TLS 证书 1、编写创建脚本 docker-install-tls.sh 并执行 #创建 Docker TLS 证书 #!/bin/bash #相关配置信息 SERVER需要更改为对应服务器IP SERVER="172.16.0.73" PASSWORD="digitalgd@2020" COUNTRY="CN" STATE="广东省" CITY="广州市" ORGANIZATION="测试环境" ORGANIZATIONAL_UNIT="Dev" EMAIL="aap-operat
Ubuntu Docker 开启2375端口 【手把手教程】
众纳百川的博客
10-20 1658
由于Docker 配置文件是在系统目录并且为只读,所以需要为Ubuntu 配置一个菜单插件用于右键打开文件时能显示“以管理员身份打开”功能,如下图。1.以管理员身份打开对应Docker配置文件:/lib/systemd/system下。开发环境下可以通过此端口直接向部署有Docker的那个服务器直接推送程序。2.Ubuntu 系统升级Docker后(升级后会自动重置配置信息)1.操作系统安装完Docker后。3.再次测试是否可以正常连接。什么情况下需要如此操作?打开终端,运行如下命令。
Docker私有仓库打开2375端口
热门推荐
Clang’s Blog
06-19 9万+
在我们开发测试过程中,需要频繁的更新docker镜像,然而默认情况下,docker2375端口是关闭的,下面介绍如何打开端口。登录docker所在服务器,修改docker.service文件 修改如下内容: 改为: 最后重新加载服务的配置文件和重启docker服务:...
TLSCA证书申请流程
阿里云专家博主,51CTO专家博主、2022年博客之星Top96,嵌入式与物联网赛道Top2
12-04 3120
TLSCA证书申请流程
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!
Jan's的博客
01-18 2914
喜欢折腾慢慢看,不喜欢折腾直接跳到小简下文的一键脚本那里,两分钟搞好。我的博客:https://blog.ideaopen.cn我的公众号:小简聊开发一键脚本很方便,小简推荐使用这个,不折腾,我是折腾玩儿才不用脚本的。生产环境安全不容疏忽,大家公网环境可千万别粗心大意哦!Docker很多教程都只告诉你打开连接,万一有人服务器上开启连接,那就不是很好了,所以我才写一篇安全认证配置和远程连接配置一起的教程。下期再见,小简提前祝大家新春快乐哦!
docker数据卷、资源控制
最新发布
Alone8046的博客
08-14 716
3.容器互联:容器与容器之间专门建立一条网络通信,容器与容器之间通过通道相互通信,建立通道之后,容器之间可以通过容器名进行通信,容器之间不需要暴露端口,也不依赖宿主机IP,再容器内部可以通过容器名直接访问另一个容器,简化容器之间的连接配置。1.容器和宿主机之间数据共享----挂载卷----容器内的目录和宿主机的目录进行挂载。2.容器与容器之间进行数据共享:容器之间会需要共享数据,最简单的方法就是使用数据卷容器,可以提供容器内的一个目录,专门用来供其它容器进行挂载。
2375 docker firewalld
09-03
然而,需要注意的是,开启远程连接存在安全风险,因为未经过TLS加密和CA证书的设置,可能导致被黑客攻击。所以在配置时需要考虑安全因素。<span class="em">1</span><span class="em">2</span><span class="em">3 ##...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值