docker容器加密访问的方法

最新推荐文章于 2024-05-11 10:09:01 发布
最新推荐文章于 2024-05-11 10:09:01 发布
阅读量9.3k 收藏 2
点赞数
分类专栏: docker 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanglingge/article/details/122382276
版权

一、危害说明

宿主主机上能够操作docker的账号拥有很大的权限,具有如下两个明显安全隐患

1.可以随意进入宿主上的任意容器中

因为进出容器不可以加密,所以有docker权限的账号可以操控宿主机上全部容器中的系统和数据。

2.可以通过挂载目录的方式,来访问本身无权访问的目录

比如当前账号为dev。

如果有个属主非dev的文件目录例如(/home/dev1/test),访问权为700。

dev账号可以使用如下命令启动一个容器,并将上述目录挂载入容器。

docker run -it -d -v /home/dev1/test:/work -w /work ubuntu:20.04 bash

此时进入容器后,会发现test目录下的内容已经全部可以访问。

解决方案

可行的办法就是把开发使用的账号和拥有docker权限的账号分开,然后开发账号通过ssh的方式登录容器环境,这样可以控制账号对不同容器的访问权。

二、容器安装ssh

进入容器中

1.直接安装ssh

apt-get update
apt-get install openssh-server -y

如果安装ssh报如下错误:

E: Sub-process /usr/bin/dpkg returned an error code (1)

则执行下面步骤

cd /var/lib/dpkg
mv info info.baksudo
mkdir info

然后再重新安装

2.配置ssh

启动ssh

echo PermitRootLogin yes >> /etc/ssh/sshd_config
/etc/init.d/ssh restart

三、容器root账号设置密码

在容器中设置root账号

passwd

四、登录容器

在宿主主机中操作

1.找到对应容器的ip地址

docker ps #找到容器id
docker inspect [containerID] #查找容器的ip地址

找到其中NetworkSettings>Networks>IPAddress,例如为172.17.0.2

2.登录

ssh root@172.17.0.2

 如果重启了容器宿主之间的登陆记录会报错,禁止登陆,提示如下

 WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

找到其中ssh-keygen -f****行,执行删除历史记录,然后再重新登陆。

五、注意

如果容器停止不了,执行下面代码

su root
aa-remove-unknown

寒木
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker 容器添加访问密码
沉漠的博客
07-01 1万+
首先,docker并不是虚拟机,一般并不存在用户访问控制,但有些时候想让用户通过密码才能访问虚拟集命令行,则可以通过ssh连接来实现。 但有个前提就是不能让用户直接接触宿主机,因为使用docker exec和docker cp等,是可以不需密码直接访问docker内部文件。 下面开始正文为python-slim镜像配置ssh访问 为debian python 镜像安装sshd 启动docker image时可以指定端口映射 docker run -ditp 500001:22 [imageID] 手动更新d
Docker(三)官方仓库的搭建、仓库的加密和认证
Gong_yz的博客
03-05 2635
当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。客户端向index请求删除,index向客户端返回允许delete和token,然后客户端访问仓库,校验完成后在仓库中删除,仓库完成删除后和index之间同步信息。
如何管理容器化环境中的秘密和配置信息?
图幻未来的博客
01-21 943
在数字化时代, 随着Docker、Kubernetes等容器的快速发展以及微服务架构的流行趋势, 越来越多的企业开始采用容器技术来部署和管理应用系统. 这种方法能够有效地降低成本和提高开发效率;但与此同时也会带来一些安全隐患问题: 例如容器中存储了大量的敏感数据和配置文件(如用户凭据或API密钥), 如果泄露将会对企业造成严重的损失和信息安全风险;因此对于这些问题如何进行有效的安全管理是企业在实施容器化管理过程中需要重点关注的核心任务之一。
Docker部署nginx并启用https加密连接
qq_64612585的博客
05-03 1307
在当今互联网时代,安全性成为越来越重要的议题。随着网络攻击日益猖獗,保护数据和通信的安全性变得至关重要。在这种背景下,对于在 Docker 中运行 Nginx 是否需要使用 HTTPS 这一问题,我们需要考虑到网络安全的重要性以及 HTTPS 协议所提供的加密和认证功能。接下来,让我们深入探讨为什么在 Docker 中运行 Nginx 时使用 HTTPS 是至关重要的。
Docker仓库加密认证
BJZX_OL的博客
12-07 84
实验环境:准备第二台虚拟机并配置docker服务及开启等。一. 强制使用非加密访问仓库 insecure registry。部署客户端证书 在certs.d里创建一个以域名命名的目录并拷贝证书过去。###此时远程拉取login登录即可。二. 设置仓库加密。## 记得配置好两台虚拟机仓库名的解析。三. 设置仓库认证。此时报错为没有证书 拷贝证书即可。删除之前创建的容器并添加参数重新运行。升级openssl11软件包。创建serts目录并创建证书。创建认证文件 创空目录并创建文件。
Docker开启远程访问加密)(idea连接Docker实现一键部署)
qq_2453548221的博客
08-10 1750
Docker开启远程访问加密)(idea连接Docker实现一键部署)
Portainer访问远程Docker (TLS加密)
hjc_042043的博客
02-02 650
安全访问远程docker的配置,避免Docker Remote API未授权访问漏洞
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1883
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker 安全加密系统
LI_MINGXUAN的博客
03-31 1066
Docker 安全一.Docker 容器与虚拟机的区别二.Docker 存在的安全问题1.Docker 自身漏洞2. Docker 源码问题三.Docker 架构缺陷与安全机制1. 容器之间的局域网攻击2. DDoS 攻击耗尽资源3. 有漏洞的系统调用4. 共享root用户权限四.Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五.Docker remote api 访问控制六.限制流量流向七.镜像安全八.Docker-TLS加密通讯 一.Docker 容器
解决ssh连接docker容器需要密码问题
weixin_56286468的博客
06-23 1401
1.在创建docker容器是默认的用户是root,进入容器是没有密码的,但是当ssh进行连接是需要密码,因为root用户密码是系统随机生成的。想解决这个问题可以通过配置免密登录的方式进行。cd 到容器root目录,没有的的话就创建.ssh文件夹,在该文件家里面创建authorized_keys文件并复制共有秘钥。
将一个简单的python程序打包成加密docker镜像并对外提供接口
热门推荐
uncle_yiba的博客
04-23 2万+
环境:python2.7   docker:一、一个简单的python程序既然是一个简单的python程序,那我们就实现一个简单的加法功能即可。#coding=utf-8 import random def add(aStr,bStr):     map={}     try:         a=float(aStr)         b=float(bStr)         sum=a+...
如何在Docker容器内外互相拷贝数据
09-30
以下是如何在Docker容器内外互相拷贝数据的详细步骤和方法: ### 从容器内拷贝文件到主机上 首先,你需要列出正在运行的容器,可以使用`docker ps`命令。例如: ```bash [root@oegw1 soft]# docker ps ``` 接着...
Docker开启远程安全访问的图文教程详解
09-29
Docker 是一个流行的开源容器化平台,它允许开发者打包应用和服务,并在任何地方运行。然而,默认情况下,Docker守护进程仅监听本地接口,不允许远程访问。本教程将详细解释如何安全地开启Docker的远程访问功能。 #...
docker-makemkv:用于MakeMKV的Docker容器
03-22
用于MakeMKV的Docker容器 这是的Docker容器。 可通过现代的Web浏览器(无需在客户端上进行安装或配置)或通过任何VNC客户端来访问应用程序的GUI。 还提供了一种全自动模式:将DVD或蓝光光盘插入光驱,然后让MakeMKV...
Docker容器安全性解决方案.pdf
10-11
例如,可以使用 Docker 的安全机制来限制容器访问权限,防止未经授权的访问等安全问题。 容器网络安全是指在容器之间或容器与外部网络之间的网络连接中,为了确保数据的安全传输,采取的一些安全机制和解决方案。...
Centos Docker1.12 远程Rest api访问的配置方法
09-30
在使用Docker时,有时我们需要远程管理Docker守护进程(daemon),例如在多台服务器上进行自动化部署或者从一个集中的管理系统控制容器。在CentOS 7中,Docker 1.12版本,可以通过配置开启远程REST API访问来实现这...
docker容器kibana设置用户名和密码
最新发布
。。。。
05-11 858
容器启动的kibana设置用户名和密码
Redis 6.0 Docker容器使用TLS加密
MK 乘风破浪~的博客
03-18 1413
前言最近,公司在做渗透测试,要求redis使用加密传输。经过比较redis各版本,发现redis6.0开始正式支持TLS 通道加密,更加安全。redis6.0以下版本只支持数据加密,最新版本为redis7.0。考虑到redis7.0刚出不久,新的功能项目也暂时用不上。故此决定选用redis6.2.11(6.0的最新稳定版)。先决条件安装了 DockerDocker Compose 已安装。
docker加密访问及idea部署服务到docker(配置共享)
zlhmeng的博客
06-16 1912
你自山河林间来 惊鸿一瞥百花开 从此我便无别意 千头万绪皆为爱 docker远程访问 之前刚学的时候,看见网上很多关于开启远程访问的教程,都是修改docker.service文件,然后开启2375端口,这种方式只适合在本地测试,后面我在线上部署了一个,第二天发现服务器被拉去挖矿了,我丢。 但是我又想在线上服务器docker部署服务,所以我们需要对服务器进行加密,你也可以使用jenkins,当然这也就不需要开启docker远程端口了。 生成证书 我们需要生成ca证书,然后引用证书 证书生成参考自:https
docker vnc 加密
11-15
Docker VNC是一种通过VNC协议远程访问Docker容器方法。为了保证安全性,可以使用SSL/TLS加密来保护VNC连接。下面是一个使用SSL/TLS加密Docker VNC容器的例子: 1.创建一个自签名的SSL证书 ```shell openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes ``` 2.创建一个Dockerfile文件 ```dockerfile FROM consol/centos-xfce-vnc # 安装openssl RUN yum install -y openssl # 复制证书到容器中 COPY cert.pem /root/.vnc/ COPY key.pem /root/.vnc/ # 设置VNC密码 RUN echo "password" | vncpasswd -f > /root/.vnc/passwd && \ chmod 600 /root/.vnc/passwd # 启动VNC服务 CMD ["/startup.sh", "--wait"] ``` 3.构建Docker镜像 ```shell docker build -t my-vnc . ``` 4.运行Docker容器 ```shell docker run -d -p 5901:5901 my-vnc ``` 现在,你可以使用VNC客户端连接到Docker容器的5901端口,并使用刚才设置的密码进行登录。由于SSL/TLS加密,你的连接将会更加安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值