Docker安全漏洞

最新推荐文章于 2022-09-01 21:20:54 发布
最新推荐文章于 2022-09-01 21:20:54 发布
阅读量687 收藏
点赞数 1
分类专栏: 运维 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sbl19940819/article/details/118353894
版权

Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了

生成需要的证书文件

注意设置好自己的目录

openssl genrsa -out ca-key.pem 4096

证书的相关信息,设置自己的

openssl req -x509 -sha256 -batch -subj '/C=CN/ST=Shanghai/L=Shanghai/O=Ghostcloud Co.,Ltd/OU=Laboratory/CN=www.XXX.cn' -new -days 365 -key ca-key.pem -out ca.pem

openssl genrsa -out server-key.pem 4096

openssl req -subj '/CN=DockerDaemon' -sha256 -new -key  server-key.pem -out  server-csr.pem

配置上可以访问的ip地址,网上有说配置0.0.0.0 的, 但是测试失败了,肯定有办法,要不都设置上… ,有知道的麻烦告知下…

echo subjectAltName = IP:127.0.0.1,IP:10.111.30.22,IP:10.111.30.21,IP:10.111.30.24,IP:10.111.30.25,IP:10.111.30.26 ,IP:10.111.30.23 > allow.list

openssl x509 -req -days 365 -sha256 -in  server-csr.pem -CA  ca.pem -CAkey  ca-key.pem -CAcreateserial -out  server-cert.pem -extfile allow.list

openssl genrsa -out  client-key.pem 4096

openssl req -subj '/CN=DockerClient' -new -key client-key.pem -out  client-csr.pem

echo extendedKeyUsage = clientAuth > options.list

openssl x509 -req -days 365 -sha256 -in client-csr.pem -CA  ca.pem -CAkey  ca-key.pem -CAcreateserial -out  client-cert.pem -extfile  options.list

以上需要的文件都生成完毕!

修改docker配置

修改 docker.service文件

vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/data/docker/tsl/ca.pem --tlscert=/data/docker/tsl/server-cert.pem --tlskey=/data/docker/tsl/server-key.pem -H=0.0.0.0:2376 -H unix://var/run/docker.sock
重启docker
systemctl daemon-reload   守护进程
systemctl restart docker       重启服务
systemctl status docker -l 查看状态
连接

docker --tlsverify --tlscacert=ca.pem --tlscert=client-cert.pem --tlskey=client-key.pem -H=tcp://127.0.0.1:2376 info

通过Portainer连接,选择对应的文件即可
在这里插入图片描述
文件大部分命令来自:

Songbl_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker 容器逃逸漏洞 (CVE-2020-15257)
12-26 2万+
漏洞简述: 当在docker使用–net=host参数启动,与宿主机共享net namespace时,容器中的攻击者可以绕过访问权限访问 containerd 的控制API 进而导致权限提升。 漏洞利用: (1)安装有漏洞的containerd版本,影响版本containerd< 1.3.9&&containerd < 1.4.3 #列出仓库中可用的版本,安...
如何检查 Docker 镜像是否存在漏洞_docker1,这原因我服了
最新发布
2401_83973995的博客
04-20 594
于是,我开始调查这个问题,最终发现是我的同事偷偷地在我的 Docker 镜像里面存放了牛奶。哈哈哈,这个笑话真冷!我有一个朋友,他是个 Docker 爱好者,喜欢用 Docker 镜像部署他的应用程序。这个镜像看起来非常棒,但是他没有想到,这个镜像中有一个安全漏洞,可以让黑客入侵他的网站。最终,他发现了一个叫做“Clair”的工具,它可以自动扫描 Docker 镜像中的漏洞,并生成报告。所以,如果你也想成为一名 Docker 镜像的专家,那么就一定要学会手动检查 Docker 镜像以确保它们没有安全问题。
docker portainer_Docker管理工具Portainer中的多个漏洞
weixin_39789206的博客
11-27 2091
介绍Portainer是一个轻量级的管理UI,可帮助用户轻松地管理Docker主机或Swarm集群。在过去的几个月中,FortiGuard实验室一直与Portainer团队密切合作,解决了在Portainer软件中发现的多个漏洞。以下将提供这些漏洞的概述。在撰写本文时,本文所提及的所有漏洞都已被Portainer修复,这种快速反应是对客户负责的表现。FG-VD-19-118和FG-VD-19-11...
Docker的一个安全漏洞
weixin_34336292的博客
06-23 162
最近又翻译了一篇关于Docker的文章,内容是Docker发布的一个安全漏洞以及应对方法,地址在docker中文社区的《突破 DOCKER 容器的漏洞验证代码》其实我十来年前做过一段时间的系统安全,还结识了安全圈里一帮兄弟,后来我转行做了存储,也一直在关注安全领域。这一两年安全行业迅猛发展,看得我有时候真是羡慕嫉妒恨啊......回到技术话题,这个漏洞其实很容易理解。Linu...
Docker漏洞的记录
mingyqf的博客
02-02 456
原文链接:https://www.cnblogs.com/peterpan0707007/p/15246853.html 原文链接:https://blog.csdn.net/weixin_46700042/article/details/109532502 侵删 【实战】Docker漏洞的记录] Docker容器的特点: 1.轻量级 在机器上运行的Docker容器共享该机器的操作系统内核; 他们使用更少的计算和内存。图像由文件系统层构建并共享公用文件。最大限度地减少了磁盘使用量。 2.标准 Docker
安全介绍
路漫漫其修远兮
02-25 215
本节目录:(1)内核名字空间(2)控制组(3)Docker服务端的防护(4)内核能力机制(5)其它安全特性(6)总结1、内核名字空间Docker 容器和 LXC 容器很相似,所提供的安全特性也差不多。当用 docker run 启动一个容器时,在后台 Docker 为容器创建了一个独立的名字空间和控制组集合。名字空间提供了最基础也是最直接的隔离,在容器中运行的进程不会被运行在主机上的进程和其它容器...
Docker 暴重大安全漏洞:外部网络可直接访问映射到 127.0.0.1 的本地服务
easylife206的专栏
06-28 1077
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !近日Hacker News 上面有一个贴子[1]火了,这是一封发给 Docker 安全团队的邮件,主要讲的是 Docker 有一个非常离谱的安全隐患。即使你通过像-p 127.0.0.1:80:80这样的参数将端口暴露到回环地址,外部仍然可以访问该服务,怎么回事呢?原因其实很简单,Do...
Docker暴露2375端口,引起安全漏洞
02-26
今天有小伙伴发现docker暴露出2375端口,引起了安全漏洞。我现在给大家介绍整个事情的来龙去脉,并告诉小伙伴们,怎么修复这个漏洞。为了实现集群管理,Docker提供了远程管理接口。DockerDaemon作为守护进程,运行在...
clair-scanner:Docker容器漏洞扫描
02-02
查找此信息的一种方法是查看Docker注册表[Hub或Quay.io]安全扫描。 这意味着您易受攻击的映像已在Docker注册表中。 您想要做的是将扫描作为CI / CD管道的一部分,以阻止Docker图像推送漏洞: 构建并测试您的应用...
基于Docker的漏洞验证框架的设计与实现
10-15
针对搭建安全漏洞环境困难、复现漏洞困难的问题,基于Docker虚拟化技术,设计了一种将漏洞环境部署在容器中,并使用相应漏洞利用脚本实现验证的框架系统。此框架系统验证过程需要提供Dockerfile文件或Docker镜像以及...
关于docker安全Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
Docker漏洞相关
SHELLCODE_8BIT的博客
03-14 1775
docker逃逸漏洞(CVE-2019-5736)
热门推荐
chaojixiaojingang
12-23 1万+
1.漏洞描述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc的严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在...
一个未打补丁的漏洞影响所有版本的 Docker
liqiuman180688的博客
06-03 336
文章来源: 云头条 所有版本的Docker目前都容易受到一种竞态条件(race condition)的攻击,这种竞态条件可能使攻击者对主机系统上的任何文件拥有读取权限和写入权限。概念验证代码已发布。 该漏洞类似CVE-2018-15664,它为黑客修改资源路径提供了一个机会窗口,这个机会窗口出现在路径被解析之后,但被分配的程序开始对资源进行操作之前的时间点。这被称为检查时间/使用时间(TOC...
linux docker漏洞,Docker本地权限提升漏洞(CVE-2014-3499)
weixin_33653182的博客
05-16 264
发布日期:2014-07-01更新日期:2014-07-02受影响系统:Docker Docker描述:--------------------------------------------------------------------------------BUGTRAQ ID: 68303CVE(CAN) ID: CVE-2014-3499Docker是Linux上的服务提供容器管理。用...
Docker未授权访问漏洞
周星星的博客
09-01 1811
docker未授权访问漏洞复现,漏洞利用,修复方法
漏洞复现 - - -Docker未授权访问漏洞
weixin_67503304的博客
08-16 4841
Docker未授权访问漏洞,docker未授权写定时任务获取shell,详细概述了通过docker获取shell的方法。
Docker再曝安全漏洞,这次是PWD的问题
cpongo55
01-15 98
\u003cblockquote\u003e\n\u003cp\u003e近日,网络安全公司CyberArk的研究人员发现了一种破解流行Play-with-Docker(PWD)站点的方法,可绕过容器隔离边界限制,直接获取用户文件。不过,该错误配置目前已被修复。\u003c/p\u003e\n\u003c/blockquote\u003e\n\u003cp\u003e近年来,容器已成为应用程序部署...
docker镜像漏洞扫描机制
06-13
Docker镜像漏洞扫描机制主要是通过扫描镜像中的软件包和组件,来发现其中可能存在的漏洞。...在Docker镜像构建和部署过程中,使用这些工具可以帮助用户及时发现和修复镜像中的漏洞,提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值