Docker启用TLS进行安全配置

最新推荐文章于 2024-02-06 14:32:29 发布
最新推荐文章于 2024-02-06 14:32:29 发布
阅读量848 收藏 1
点赞数
文章标签: 运维 java 大数据
原文链接:http://www.cnblogs.com/xiaoqi/p/docker-tls.html
版权

之前开启了docker的2375 Remote API,接到公司安全部门的要求,需要启用授权,翻了下官方文档

Protect the Docker daemon socket

启用TLS

在docker服务器,生成CA私有和公共密钥

$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................................................................................................................................................................................++
........++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:Queensland
Locality Name (eg, city) []:Brisbane
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc
Organizational Unit Name (eg, section) []:Sales
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []:Sven@home.org.au

有了CA后,可以创建一个服务器密钥和证书签名请求(CSR)

$HOST 是你的服务器ip

$ openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)

$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

接着,用CA来签署公共密钥:

$ echo subjectAltName = DNS:$HOST,IP:$HOST:127.0.0.1 >> extfile.cnf

 $ echo extendedKeyUsage = serverAuth >> extfile.cnf

生成key:

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=your.host.com
Getting CA Private Key
Enter pass phrase for ca-key.pem:

创建客户端密钥和证书签名请求:


$ openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................................++
................++
e is 65537 (0x10001)

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

修改extfile.cnf

echo extendedKeyUsage = clientAuth > extfile-client.cnf

生成签名私钥:

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

将Docker服务停止,然后修改docker服务文件

[Unit]
Description=Docker Application Container Engine
Documentation=http://docs.docker.io

[Service]
Environment="PATH=/opt/kube/bin:/bin:/sbin:/usr/bin:/usr/sbin"
ExecStart=/opt/kube/bin/dockerd  --tlsverify --tlscacert=/root/docker/ca.pem --tlscert=/root/docker/server-cert.pem --tlskey=/root/docker/server-key.pem -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375
ExecStartPost=/sbin/iptables -I FORWARD -s 0.0.0.0/0 -j ACCEPT
ExecReload=/bin/kill -s HUP $MAINPID
Restart=on-failure
RestartSec=5
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
Delegate=yes
KillMode=process

[Install]
WantedBy=multi-user.target

然后重启服务

systemctl daemon-reload
systemctl restart docker.service 
重启后查看服务状态:

systemctl status docker.service
● docker.service - Docker Application Container Engine
   Loaded: loaded (/etc/systemd/system/docker.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2019-08-08 19:22:26 CST; 1 min ago

已经生效。

使用证书连接:

复制ca.pem,cert.pem,key.pem三个文件到客户端

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=$HOST:2375 version连接即可

docker-java 启用TLS

项目里使用docker的java客户端docker-java调用docker,为了支持TLS,在创建客户端时,需要增加TLS设置。

首先将ca.pem cert.pem key.pem这三个文件拷贝到本地,例如E:\\docker\\",

然后DefaultDockerClientConfigwithDockerTlsVerify设为true,并设置certpath为刚拷贝的目录。

DefaultDockerClientConfig.Builder builder =
                DefaultDockerClientConfig.createDefaultConfigBuilder()
                    .withDockerHost("tcp://" + server + ":2375")
                    .withApiVersion("1.30");
            if (containerConfiguration.getDockerTlsVerify()) {
                builder = builder.withDockerTlsVerify(true)
                    .withDockerCertPath("E:\\docker\\");
            }
    return  DockerClientBuilder.getInstance(builder.build()).build()

大工搞定。

作者:Jadepeng
出处:jqpeng的技术记事本--http://www.cnblogs.com/xiaoqi
您的支持是对博主最大的鼓励,感谢您的认真阅读。
本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

转载于:https://www.cnblogs.com/xiaoqi/p/docker-tls.html

weixin_30879833
关注
Docker-TLS详解
繁星若渺的博客
03-17 1550
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
docker开启TLS远程连接
mxrain的博客
06-21 517
最近在研究cicd jenkins 需要连接阿里云服务器的docker 2375端口, 这里用TLS方式连接docker服务 一、制作证书(docker服务的机器) 建立证书存放位置 创建CA证书私钥 创建服务端私钥 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0
DockerTLS 认证
记录了,但是完全不会。
07-05 712
使用脚本快速创建TLS证书并部署到Docker服务,解决2375端口引发的安全漏洞。
Redis 6.0 Docker容器使用TLS加密
MK 乘风破浪~的博客
03-18 1610
前言最近,公司在做渗透测试,要求redis使用加密传输。经过比较redis各版本,发现redis6.0开始正式支持TLS 通道加密,更加安全。redis6.0以下版本只支持数据加密,最新版本为redis7.0。考虑到redis7.0刚出不久,新的功能项目也暂时用不上。故此决定选用redis6.2.11(6.0的最新稳定版)。先决条件安装了 DockerDocker Compose 已安装。
Docker搭建Redis
Shangshan_Ruohe的博客
03-19 253
文章目录前言一、下载docker镜像二、配置文件1.创建配置文件2.修改redis.conf配置文件3.启动镜像容器4.查看是否启动成功总结 前言 着手在docker上搭建一个单机版的redis 一、下载docker镜像 docker pull redis 完成后执行 docker images 二、配置文件 1.创建配置文件 在宿主机上事先准备一个配置文件,可以直接从官网下载,防止一会启动redis的时候发生无配置启动的问题,这里就直接贴出来了 redis.conf # Redis configur
Docker 安装 Redis
Mozart97的博客
09-04 371
Docker 安装Redis
docker引擎开启TLS双向认证
qq_21442867的博客
07-07 1182
文章目录0 环境信息1 创建CA证书1.1 创建CA私钥1.2 生成CA证书2 用ca 证书签发服务端 证书3 为docker引擎部署服务端证书5 用ca 证书签发客户端证书:6 验证 tls 证书7 补充 0 环境信息 docker 引擎服务端 192.168.3.16 docker 客户端 192.168.3.14 docker 版本 19.03.9 1 创建CA证书 1.1 创建CA私钥 可在任意一个可以使用 openssl 命令行工具的操作系统 创建证书相关的文件 创建一个
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
通信安全docker建立客户端与服务端TLS证书连接
清晨@暖阳
08-08 931
通信安全docker建立客户端与服务端TLS证书连接一、TLS证书的作用二、创建证书1、创建目录2、创建私钥3、创建证书4、创建扩展配置文件三、签署证书四、Docker配置TLS证书五、测试 一、TLS证书的作用 在远程上调用Docker时,若没有设置TLS证书,那么docker能被所有人调用,而TLS的作用就是限制指定的主机对Docker进行远程调用,从而保证docker安全。 二、创建证书 使用openssl来创建CA,并签署秘钥/证书。 1、创建目录 首先创建一个certs目录,并
docker-配置tls时重启docker失败
weixin_50344742的博客
03-20 572
问题 可发现,是路径问题 解决 ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/tls/ca.pem --tlscert=/root/tls/server-cert.pem --tlskey=/root/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.so 再重启 systemctl daemon-reload systemctl restart dock
报错:Docker-TLS远程连接失败
qq_41786285的博客
12-03 1027
报错信息: [root@client1 docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version Client: Docker Engine - Community Version: 19.03.13 API version: 1.40 Go version: go1.13.15 Git c
Docker 基础用法和命令帮助
JaneNancy的博客
08-22 812
一、docker command $ sudo docker # docker 命令帮助 Commands: attach Attach to a running container # 当前 shell 下 attach 连接指定运行镜像 build Build an image from a Dockerfile ...
如何使用 Podman 签署和分发容器镜像
m0_53765226的博客
08-16 425
如何使用 Podman 签署和分发容器镜像
java 上传镜像到harbor,生成证书和实操代码
liudongyang123的博客
06-09 910
将 ca-key.pem、ca.pem、cert.pem、key.pem这 4 个密钥文件下载到本机的磁盘上,然后在代码中配置certs地址即可。#找到 Execstart=/usr/bin/dockerd,并在后加上如下内容,然后保存退出。#首先执行如下命令编辑服务器上的 docker.service 文件。#接着运行以下命令,重启 docker服务。
Redhat(1)-容器--podman-容器基本操作-数据持久化-管理容器
aggie4628的专栏
10-18 2184
redhat 中podman的基本操作。
Centos7.6 使用二进制安装docker
技术成就梦想
09-19 796
创建Docker二级制文件存放目录 mkdir /opt/kube/bin/ -pv # ll total 155108 -rwxr-xr-x 1 root root 37598450 Sep 19 11:10 docker -rwxr-xr-x 1 root root 11748168 Sep 19 11:13 docker-compose -rwxr-xr-x 1 root root 26...
Docker启用TLS进行安全连接
最新发布
心若有所向往,何惧道阻且长。
02-06 409
Docker启用TLS进行安全连接
docker开启TLS远程访问 2376
lms99251的博客
07-18 1968
docker开启TLS远程访问的方法
Docker容器安全实践:数据加密与最佳配置
2. 配置docker守护进程,例如限制默认网桥上的容器网络流量、设置日志级别、启用TLS身份验证、调整资源限制(如ulimit)、启用用户命名空间和集中式日志记录等。 这些措施旨在确保Docker环境的安全性,防止未经授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值