docker remote api一键TLS加密

最新推荐文章于 2024-02-02 22:36:24 发布
最新推荐文章于 2024-02-02 22:36:24 发布
阅读量524 收藏 4
点赞数
分类专栏: Docker技术 文章标签: docker 运维 容器
原文链接:https://blog.csdn.net/u010033674/article/details/106299040
版权

最近公司服务器被挖矿了,最后原因定位到docker的2375端口。

让我们来理一下,最开始发现docker中莫名其妙多了几个镜像和正在运行的容器,而且很吃CPU,且2375端口未设置ip访问规则,意思就是所有人都可以通过你的2375端口操作你的docekr,且用启动容器挂载宿主机文件夹,因为docker使用root权限启动的,所以所有人都可以通过你的2375端口以root用户控制你的宿主机。

下面讲一下我们的应对步骤:

1、修改docker的2375端口为另外的端口,这只是权宜之计。

$ vi /usr/lib/systemd/system/docker.service

   
   

   
   
  • 1

在这里插入图片描述
重启docker:

$ systemctl daemon-reload
$ systemctl restart docker

   
   

   
   
  • 1
  • 2

2、给docker进行tls加密

#!/bin/bash
mkdir -p /root/tls/pem
DOMAIN_HOST=`ifconfig eth0 | grep "inet" | awk '{ print $2}' | sed -n '1p;1q'`
#DOMAIN_HOST=`hostname` #选择域名方案最好
HOST=$DOMAIN_HOST
# 自定义信息
PASSWORD="yourPassword"
COUNTRY=CN
PROVINCE=gd
CITY=gz
ORGANIZATION=dounine
GROUP=dg
NAME=lake
SUBJ="/C=$COUNTRY/ST=$PROVINCE/L=$CITY/O=$ORGANIZATION/OU=$GROUP/CN=$HOST"
# 自定义信息
#============================================================================================
#此形式是自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发
# 生成根证书RSA私钥,password作为私钥密码(身份证)
openssl genrsa -passout pass:$PASSWORD -aes256 -out /root/tls/pem/ca-key.pem 4096
# 2.用根证书RSA私钥生成自签名的根证书(营业执照)
openssl req -new -x509 -days 365 -passin pass:$PASSWORD -key /root/tls/pem/ca-key.pem -sha256 -subj $SUBJ -out /root/tls/pem/ca.pem
#============================================================================================
#给服务器签发证书
# 1.服务端生成自己的私钥
openssl genrsa -out /root/tls/pem/server-key.pem 4096
# 2.服务端生成证书(里面包含公钥与服务端信息)
openssl req -new -sha256 -key /root/tls/pem/server-key.pem -out /root/tls/pem/server.csr -subj "/CN=$DOMAIN_HOST"
# 3.通过什么形式与我进行连接,可设置多个IP地扯用逗号分隔
echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf
# 4.权威机构对证书进行进行盖章生效
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/server.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/server-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
#给客户端签发证书
openssl genrsa -out /root/tls/pem/client-key.pem 4096
openssl req -subj '/CN=client' -new -key /root/tls/pem/client-key.pem -out /root/tls/pem/client.csr
echo extendedKeyUsage = clientAuth > /tmp/extfile.cnf
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/client.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/client-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
# 清理文件
rm -rf /root/tls/pem/ca-key.pem
rm -rf /root/tls/pem/{server,client}.csr
rm -rf /root/tls/pem/ca.srl
# 最终文件
# ca.pem  ==  CA机构证书
# client-cert.pem  ==  客户端证书
# client-key.pem  ==  客户私钥
# server-cert.pem  == 服务端证书
# server-key.pem  ==  服务端私钥

   
   

   
   
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48

注意:

  • 当DOMAIN_HOST设置成域名时,echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf这段代码的$DOMAIN_HOST应该替换为你的服务器的公网ip
  • echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf中的IP:0.0.0.0表示所有ip都可以通过携带证书访问,虽然这里是设定了所有,但是不应该省略显示的定义自己服务器的公网ip。即为IP:$yourip,IP:0.0.0.0,而不是IP:0.0.0.0

赋予该文件执行权限:

$ chmod +x tls.sh

   
   

   
   
  • 1

执行该shell脚本后,会在/root/tls/pem目录下生成ca.pem、client-cert.pem、client-key.pem 、server-cert.pem、server-key.pem。

然后修改docker配置:

$ vim /usr/lib/systemd/system/docker.service

   
   

   
   
  • 1

添加:

		--tlsverify \
        --tlscacert=/root/tls/pem/ca.pem \
        --tlscert=/root/tls/pem/server-cert.pem \
        --tlskey=/root/tls/pem/server-key.pem \

   
   

   
   
  • 1
  • 2
  • 3
  • 4


重启docker:

$ systemctl daemon-reload
$ systemctl restart docker

   
   

   
   
  • 1
  • 2

现在使用docker remote api进行连接:

无认证:

$ docker -H tcp://192.168.0.150:2376 version

   
   

   
   
  • 1

会报错未认证。

携带认证方式:

docker --tlsverify --tlscacert=/root/tls/pem/ca.pem --tlscert=/root/tls/pem/client-cert.pem --tlskey=/root/tls/pem/client-key.pem -H tcp://192.168.0.150:2376 version

   
   

   
   
  • 1
独孤清扬玩DB
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DockerDocker Remote API 访问控制
01-09
Docker Remote API 访问控制 Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问,监听内网 ip,docker daemon 启动方式如下: [root@localhost ~]# vim /usr/lib/systemd/system/docker.service ##更改插入如下内容 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock ExecStart=/usr/bin/dockerd -H unix:/
docker-compose一键部署rocketmq
04-26
cd docker-rocketmq cd rmq chmod +x start.sh ./start.sh 不能设置权限777的同学可以设置如下 chown 3000:3000 ./rmqs/logs chown 3000:3000 ./rmqs/store chown 3000:3000 ./rmq/logs chown 3000:3000 ./rmq/store 访问浏览器 localhost:8180 注意 如果你的微服务或者项目在开发的时候没有放入docker中或者与rocketmq容器不能直接用IP访问, 那么请把broker.conf中的 #brokerIP1=192.168.0.253 前面#号去掉,并且把后面的IP地址改成你的rocketmq容器宿主机IP地址, 否则报 com.alibaba.rocketmq.remoting.exception.RemotingConnectException: connect to <172.0.0.120:10909> failed 配置文件 在 rmq/rmq/brokerconf 目录下
Portainer访问远程Docker (TLS加密)
最新发布
hjc_042043的博客
02-02 427
安全访问远程docker的配置,避免Docker Remote API未授权访问漏洞
docker-compose一键搭建Redis集群
06-12
1.先运行 createFile.py 输入宿主机IP地址,输入redis密码 2.按照控制台输出执行docker-compose up -d 启动命令 3.启动成功后执行加入集群命令即可
lnmp 环境 docker-compose 一键搭建
05-26
lnmp 环境 docker-compose 一键搭建 内含有mongo redis elasticsearch rabbitmq 等。docker-compose up。经过多方面的调试,已经没有问题了,php 装有swoole xdebug 等插件,小项目可以直接用做生产环境
Docker】使用SSL证书加密远程连接(附IDEA连接教程)
pcdd 的博客
10-24 8144
如果只是自己的虚拟机做快速演示,比如idea连接docker,可以直接开启端口,无需加密,节省时间 公网环境严禁直接暴露端口,机器会被挖矿! vim /usr/lib/systemd/system/docker.service 改为 ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2376 1.编写shell脚本,命名为docker_cert.sh #!/b
Docker远程API控制及TLS认证控制
CN_LiTianpeng的博客
11-17 988
Docker存在安全问题 Docker自身漏洞 作为一款应用Docker本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。 黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。 目前Docker 版本更迭非常快,Docker用户最好将Docker升级为最新版本。 Docker 源码问题 Docker提供了Docker hub(公有仓库),可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。 但同时也带来了一些安全问题。例如下面三种方式: (1)
docker容器加密访问的方法
ling的专栏
01-08 8663
对于宿主主机能够操作docker的账号拥有很大的权限,它可以进入宿主主机的所有容器中,因为容器本身的进出是不能加密的。 这种情况在开发测试中不愿意被看到的,可行的办法就是把编辑代码所用的账号和拥有docker权限的账号分开,然后通过ssh的方式登录测试容器环境。 一、容器安装ssh 进入容器中 1.直接安装ssh apt-get update apt-get install openssh-server 如果安装ssh报如下错误: E: Sub-process /usr/bin/dpkg
docker设置tls加密远程访问
qq_38120778的博客
05-27 641
一、生成密钥 1、在Linux服务器上建一个目录,进入此目录,我这里是/root/docker 创建根证书RSA私钥: openssl genrsa -aes256 -out ca-key.pem 4096#输入密码 2、生成CA秘钥文件ca-key.pem; 以此秘钥创建CA证书,自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发: openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca
Docker——docker安全、Docker remote api 访问控制、TLS加密通讯
ML908的博客
04-28 2297
文章目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、 Docker 源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、 DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器...
Docker开启TLS认证
qq_35156626的博客
12-21 663
修复Docker远程API调用漏洞,启用TLS认证
docker-compose一键部署环境包
10-09
docker-compose一键完成微服务各组件的安装包:nginx、sentinel、nacos、seata、mysql、Redis、skywaking、easicsearch、prmetheus、grafana等
计算机网络(四)
学习小窝
02-22 142
HTTP和HTTPS的区别 HTTP HTTPS HTTP HTTP TCP SSL OR TLS TCP IP IP SSL(Security Sockets Layer , 安全套接层) 为网络通信提供安全及数据完整性的一种安全协议 是操作系统对外的API,SSL3.0后更名为TLS 采用身份验证和数据加密保证网络通信的安全和数据的完整性 加密方式 对称加密...
Docker容器--TLS安全管理
qq_46480020的博客
03-16 632
文章目录一、Docker remote api 访问测试远程调用docker二、Docker-TLS加密验证 一、Docker remote api 访问 Docker的远程调用API接口存在未授权访问的漏洞,至少也应该限制外网访问,这里配置使用Socket方式访问。 这里我们使用centos7 ip:192.168.100.101作为被访问方; centos7 ip:192.168.100.100作为远程调用方。 使用 docker -d -H unix:///var/run/docker.sock -H
tls加密通信
weixin_45725244的博客
04-28 365
两台虚拟机都安装了 docker-ce。 server端-----192.168.175.148 client端------192.168.175.149 //关闭防火墙 [root@promote ~]# systemctl stop firewalld.service [root@promote ~]# mkdir /root/tls //创建ca密码 [root@promote tls]#...
Docker(三)官方仓库的搭建、仓库的加密和认证
Gong_yz的博客
03-05 2444
当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。客户端向index请求删除,index向客户端返回允许delete和token,然后客户端访问仓库,校验完成后在仓库中删除,仓库完成删除后和index之间同步信息。
将一个简单的python程序打包成加密docker镜像并对外提供接口
热门推荐
uncle_yiba的博客
04-23 1万+
环境:python2.7   docker:一、一个简单的python程序既然是一个简单的python程序,那我们就实现一个简单的加法功能即可。#coding=utf-8 import random def add(aStr,bStr):     map={}     try:         a=float(aStr)         b=float(bStr)         sum=a+...
Docker 安全加密系统
LI_MINGXUAN的博客
03-31 1022
Docker 安全一.Docker 容器与虚拟机的区别二.Docker 存在的安全问题1.Docker 自身漏洞2. Docker 源码问题三.Docker 架构缺陷与安全机制1. 容器之间的局域网攻击2. DDoS 攻击耗尽资源3. 有漏洞的系统调用4. 共享root用户权限四.Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五.Docker remote api 访问控制六.限制流量流向七.镜像安全八.Docker-TLS加密通讯 一.Docker 容器
Redis 6.0 Docker容器使用TLS加密
MK 乘风破浪~的博客
03-18 1239
前言最近,公司在做渗透测试,要求redis使用加密传输。经过比较redis各版本,发现redis6.0开始正式支持TLS 通道加密,更加安全。redis6.0以下版本只支持数据加密,最新版本为redis7.0。考虑到redis7.0刚出不久,新的功能项目也暂时用不上。故此决定选用redis6.2.11(6.0的最新稳定版)。先决条件安装了 DockerDocker Compose 已安装。
docker-compose 一键安装
10-10
你可以通过以下步骤使用 Docker Compose 进行一键安装: 1. 首先,确保你已经安装了 DockerDocker Compose。如果还没有安装,可以参考 Docker 官方文档进行安装。 2. 创建一个名为 `docker-compose.yml` 的文件,并在其中定义你的服务。 3. 在 `docker-compose.yml` 文件中,使用 `services` 关键字定义你的服务,指定容器的名称、镜像、端口映射等信息。 4. 使用 `docker-compose up` 命令启动你的服务。Docker Compose 将根据配置文件自动拉取镜像并创建容器。 下面是一个示例的 `docker-compose.yml` 文件,用于一键安装一个基本的 Web 应用服务: ```yaml version: '3' services: web: image: nginx:latest ports: - "80:80" ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值