CoreOS配置Docker API TLS认证

最新推荐文章于 2024-05-29 00:21:04 发布
最新推荐文章于 2024-05-29 00:21:04 发布
阅读量149 收藏
点赞数
文章标签: 运维 网络
原文链接:https://my.oschina.net/ykbj/blog/1920021
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

我们经常会利用Portainer来管理docker环境,也经常会用Jenkins来自动构建和部署docker,远程管理都会使用到Docker API,通常我们只是开启了没有安全保护的2375(通常)端口,这个比较危险,会导致远程劫持攻击。那么我们就需要配置TLS认证的2376(通常)端口。

下面我们针对CoreOS系统进行配置:

一、利用系统自带的openssl生成相应的服务端和客户端证书

我们利用脚本自动生成,这样非常便捷,脚本(auto-tls-certs.sh)如下:

#!/bin/bash
# 
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------

# 以下是配置信息
# --[BEGIN]------------------------------

CODE="dp"
IP="docker服务器ip"
PASSWORD="证书密码"
COUNTRY="CN"
STATE="BEIJING"
CITY="BEIJING"
ORGANIZATION="公司"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME="$IP"
EMAIL="邮箱"

# --[END]--

# Generate CA key
openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key-$CODE.pem" 4096
# Generate CA
openssl req -new -x509 -days 365 -key "ca-key-$CODE.pem" -sha256 -out "ca-$CODE.pem" -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL"
# Generate Server key
openssl genrsa -out "server-key-$CODE.pem" 4096

# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key-$CODE.pem" -out server.csr

echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "server-cert-$CODE.pem" -extfile extfile.cnf


# Generate Client Certs.
rm -f extfile.cnf

openssl genrsa -out "key-$CODE.pem" 4096
openssl req -subj '/CN=client' -new -key "key-$CODE.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "cert-$CODE.pem" -extfile extfile.cnf

rm -vf client.csr server.csr

chmod -v 0400 "ca-key-$CODE.pem" "key-$CODE.pem" "server-key-$CODE.pem"
chmod -v 0444 "ca-$CODE.pem" "server-cert-$CODE.pem" "cert-$CODE.pem"

# 打包客户端证书
mkdir -p "tls-client-certs-$CODE"
cp -f "ca-$CODE.pem" "cert-$CODE.pem" "key-$CODE.pem" "tls-client-certs-$CODE/"
cd "tls-client-certs-$CODE"
tar zcf "tls-client-certs-$CODE.tar.gz" *
mv "tls-client-certs-$CODE.tar.gz" ../
cd ..
rm -rf "tls-client-certs-$CODE"

# 拷贝服务端证书
mkdir -p /etc/docker/certs.d
cp "ca-$CODE.pem" "server-cert-$CODE.pem" "server-key-$CODE.pem" /etc/docker/certs.d/

对脚本中的变量进行修改后运行,自动会创建好tls证书,服务器的证书在/etc/docker/certs.d/目录下:

cf128d18f1e5494241522354509639ac476.jpg

客户端的证书在运行脚本的目录下,同时还自动打好了一个.tar.gz的包,很方便。

a52727e6614faf2c2985912dd992a699ef8.jpg

二、配置Docker服务(官方说明)

注意修改证书路径。

Enable the secure remote API on a new socket

Create a file called /etc/systemd/system/docker-tls-tcp.socket to make Docker available on a secured TCP socket on port 2376.

[Unit]
Description=Docker Secured Socket for the API

[Socket]
ListenStream=2376
BindIPv6Only=both
Service=docker.service

[Install]
WantedBy=sockets.target

Then enable this new socket:

systemctl enable docker-tls-tcp.socket
systemctl stop docker
systemctl start docker-tls-tcp.socket

Drop-in configuration

Create /etc/systemd/system/docker.service.d/10-tls-verify.conf drop-in for systemd Docker service:

[Service]
Environment="DOCKER_OPTS=--tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server.pem --tlskey=/etc/docker/server-key.pem"

Reload systemd config files and restart docker service:

sudo systemctl daemon-reload
sudo systemctl restart docker.service

三、配置Portainer远程TLS连接

a42a8fc88e593b51007b357d9588cc7e37c.jpg

证书对应选择:

  1. ca.pem
  2. cert.pem
  3. key.pem

这样就完成了。注意如果之前开启了未认证的2375端口,请关闭并禁用,重启docker服务。

# 停止不安全的2375端口
systemctl stop docker-tcp.socket

# 禁用该端口
systemctl disable docker-tcp.socket

# 重启docker服务
systemctl restart docker.service

 

转载于:https://my.oschina.net/ykbj/blog/1920021

weixin_33722405
关注
CoreOS配置Docker镜像加速器的方法
09-30
本篇文章主要介绍了CoreOS配置Docker镜像加速器的方法,CoreOS下的Docker配置是通过flannel unit来实现的,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker远程API控制及TLS认证控制
CN_LiTianpeng的博客
11-17 1049
Docker存在安全问题 Docker自身漏洞 作为一款应用Docker本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。 黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。 目前Docker 版本更迭非常快,Docker用户最好将Docker升级为最新版本。 Docker 源码问题 Docker提供了Docker hub(公有仓库),可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。 但同时也带来了一些安全问题。例如下面三种方式: (1)
docker_tls配置
weixin_50668398的博客
03-23 481
修改docker启动配置,启动参数加上这些 vi /lib/systemd/system/docker.service。执行生成证书脚本 vi tls.sh 证书生成路径/etc/docker/ca/通过docker命令行测试端口开放是否成功 ps:如0.0.0.0运行失败换成本机ip。脚本预写,可不执行 重启docker服务。
Docker开启TLS认证
qq_35156626的博客
12-21 769
修复Docker远程API调用漏洞,启用TLS认证
docker remote api一键TLS加密
独孤清扬玩DB
07-12 582
docker api
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
myJavaHe的博客
03-15 2496
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
[docker] docker 安全知识 - docker api, 权限提升 & 资源管理
最新发布
GoldenaArcher的博客
05-29 1350
这是 docker 安全的最后一篇。
使用TLS加密DockerAPI
qq_32506555的博客
10-17 985
在学习Docker 的时候,我们都知道通常使用Docker,是使用docker客户端通过本地的socket与本地的docker服务端交互。当我们想通过TCP端口将docker服务器开放到网络上,同时只有信任的客户端可以连接时,就需要通过创建密钥并且分发给信任的客户端来实现。 通过创建自签名的证书文件,并且运行Docker daemon时使用了–tls-verify命令行选项,则docker服务器
Docker——docker安全、Docker remote api 访问控制、TLS加密通讯
ML908的博客
04-28 2513
文章目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、 Docker 源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、 DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器...
Docker Remote API 进行认证
qq_40422846的博客
05-19 2026
Docker 的 0.9 版本开始 Docker Remote API 开始提供了认证机制,这种认证机制采用了 TLS/SSL 证书来确保用户与 API 之间连接的安全性。 提示: 该认证不仅仅适用于 API ,通过这个认证,还需要配置 Docker 客户端来支持 TLS 认证。 有几种方法可以对我们的连接进行认证,包括可以使用...
Docker实战 | 第五篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
舞鹤白沙编码日志
10-04 1395
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。.
CoreOS配置Docker 2375端口
weixin_34327761的博客
05-31 261
为什么80%的码农都做不了架构师?>>> ...
Docker客户端&Portainer远程TLS访问dockerd小记
paopaohll的博客
03-07 2247
1.需求背景 需要在某一台服务器的控制台操控远程的dockerd 时候,需要用到portainer 和tls 2.生成tls 认证证书和私钥 参考:https://blog.csdn.net/paopaohll/article/details/88300989 3.配置dockerd 启动文件 此处以Centos7为例: vim /usr/lib/systemd/system/docker.s...
protainer可视化
lmszsd的博客
12-13 520
portainer可视化安装 https://docs.portainer.io/v/ce-2.9/start/upgrade/docker: 官方文档 portainer架构 portainer架构由两个元素组成; Server端和Agent端,两种都在现有的容器化基础设施上作为轻量级容器运行,PortainerAgent应该部署到集群中的每一个节点,并配置为向PortainerServer容器报告 单个PortainerServer将接受来自任意数量PortainerAgent的连接,从而提供从一个集中
长文详解!Docker客户端与服务端TLS认证Docker Remote API认证
董哥的黑板报
07-28 5097
一、Docker Remote API认证 在前一篇文章我们介绍了Docker Remote API如何使用:https://blog.csdn.net/qq_41453285/article/details/107642615 在前一篇文章中我们介绍了如何连接到Docker Remote API,但是不意味着任何其他人都能连接到同样的API。从安全的角度上看,这存在一点儿安全问题。不过值得感谢的是,自Docker的0.9版本开始Docker Remote API开始提供了认证机制。这种认证机制采用了
DotNetCore系列:解决NET Core项目运行在docker上出现"ssl_choose_client_version:unsupported protocol"问题
Hugo的博客
04-04 3697
前面在将公司的.NET Core项目升级为3.1之后,在开发和测试环境都是能够正常运行的。 但是非常不幸,在进行生产的docker启动之后,出现了一个数据库连接的异常。 ssl_choose_client_version:unsupported protocol 一开始以为是数据库的连接字符串配置有误或者是项目的服务器因为网络原因连接数据库失败,后来经过排查都是没有问题。 仔细分析异常信息,提示...
docker集群(二)--portainer+TLS安全连接docker主机(详细介绍与使用心得)
weixin_33724059的博客
10-11 823
https://blog.51cto.com/mysky0708/2298049承接上文,在生产中如何安全的链接docker主机呢?我们采用TLS秘钥方式。步骤:第一部分:首先在docker主机上生成秘钥,保存到指定地方;第二部分:在管理节点(portainer)上,指定上述秘钥,添加节点。 具体实施过程:第一部分代码如下 read -s PASSWORD //定义一个密码变量 read SE...
CoreOSDocker实战:高效管理容器
"CoreOS实践指南:Docker容器管理服务" CoreOS是一个轻量级的Linux发行版,设计目的是为了提供高效、安全且可自动化的服务器集群管理。它以简化基础设施和提升服务部署的效率为目标,特别强调了分布式系统的需求。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值