docker开放的端口_Docker开放远程安全访问(开启2376端口和CA认证)

最新推荐文章于 2024-03-01 21:44:33 发布
最新推荐文章于 2024-03-01 21:44:33 发布
阅读量805 收藏 2
点赞数
文章标签: docker开放的端口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39805529/article/details/111525203
版权

前言

仅仅开放远程访问Docker API,这个还不够的,因为会有安全问题。关于这点,Docker有相关的安全机制,参考官方文档Protect the Docker daemon socket,大致就是:生成证书,用来达到验证客户端身份的目的。

下面是操作步骤:

服务器配置

1. 创建certs文件夹,用来存放CA私钥和公钥

mkdir -pv /etc/docker/certs

cd /etc/docker/certs

2. 创建密码

需要连续输入两次相同的密码

openssl genrsa -aes256 -out ca-key.pem 4096

3. 依次输入密码、国家、省、市、组织名称等(除了密码外其他的可以直接回车跳过)

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

4. 生成server-key.pem

openssl genrsa -out server-key.pem 4096

5. 生成server.csr(把下面的IP换成你自己服务器外网的IP或者域名)

openssl req -subj "/CN=123.123.123.123" -sha256 -new -key server-key.pem -out server.csr

6. 配置白名单

0.0.0.0表示所有ip都可以连接。(这里需要注意,虽然0.0.0.0可以匹配任意,但是仍需要配置你的外网ip和127.0.0.1,否则客户端会连接不上)

echo subjectAltName = IP:0.0.0.0,IP:123.123.123.123,IP:127.0.0.1 >> extfile.cnf

或者也可以设置成域名

echo subjectAltName = DNS:www.example.com,IP:123.123.123.123,IP:127.0.0.1 >> extfile.cnf

7. 将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

8.输入之前设置的密码,生成签名证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \

-CAcreateserial -out server-cert.pem -extfile extfile.cnf

9、生成供客户端发起远程访问时使用的key.pem

openssl genrsa -out key.pem 4096

10. 生成client.csr(把下面的IP换成你自己服务器外网的IP或者域名)

openssl req -subj "/CN=123.123.123.123" -new -key key.pem -out client.csr

11. 创建扩展配置文件,把密钥设置为客户端身份验证用

echo extendedKeyUsage = clientAuth > extfile-client.cnf

12. 生成cert.pem,输入前面设置的密码,生成签名证书

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \

-CAcreateserial -out cert.pem -extfile extfile-client.cnf

13. 删除不需要的配置文件和两个证书的签名请求

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

14. 为了防止私钥文件被更改以及被其他用户查看,修改其权限为所有者只读

chmod -v 0400 ca-key.pem key.pem server-key.pem

15. 为了防止##### 公钥文件被更改,修改其权限为只读

chmod -v 0444 ca.pem server-cert.pem cert.pem

16. 修改Docker配置,使Docker守护程序仅接受来自提供CA信任的证书的客户端的连接

拷贝安装包单元文件到/etc,这样就不会因为docker升级而被覆盖

cp /lib/systemd/system/docker.service /etc/systemd/system/docker.service

在ExecStart=/usr/bin/dockerd-current \下面增加

--tlsverify \

--tlscacert=/etc/docker/certs/ca.pem \

--tlscert=/etc/docker/certs/server-cert.pem \

--tlskey=/etc/docker/certs/server-key.pem \

-H tcp://0.0.0.0:2376 \

-H unix:///var/run/docker.sock \

17. 重新加载daemon并重启docker

systemctl daemon-reload

systemctl restart docker

客户端配置

1. 创建证书目录

mkdir -pv ~/.docker/certs/

cd ~/.docker/certs/

2. 将ca.pem cert.pem key.pem这3个文件拷贝到当前目录

scp ca.pem ./

scp cert.pem ./

scp key.pem ./

3. 使用docker客户端测试(注意修改证书路径)

docker --tlsverify \

--tlscacert=/home/alex/.docker/certs/ca.pem \

--tlscert=/home/alex/.docker/certs/cert.pem \

--tlskey=/home/alex/.docker/certs/key.pem \

-H=123.123.123.123:2376 version

4. 使用curl测试Docker API

curl https://123.123.123.123:2376/images/json \

--cert ~/.docker/certs/cert.pem \

--key ~/.docker/certs/key.pem \

--cacert ~/.docker/certs/ca.pem

5. 配置默认远程调用服务器docker服务

# 配置~/.zshrc(或者~/.bashrc,根据你的客户端环境而定),在末尾添加以下几行

export DOCKER_HOST=tcp://123.123.123.123:2376 DOCKER_TLS_VERIFY=1

export DOCKER_CERT_PATH=~/.docker/certs/

# 然后让加载到当前会话

source .zshrc

# 测试

docker ps

*务必非常小心保管这些key,它们就跟服务器root密码一样重要(众所周知docker是可以进行真实主机提权的)

weixin_39805529
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《伸手系列》之Docker开启2376端口CA认证
御前提笔小书童
01-20 1101
前言 众所周知,docker可以开启远程访问API,但是发现很多都是直接开启2375端口,未做安全配置,从而出现安全隐患,最近在将docker环境统一portainer管理时,发现有这种情况。本文讲解如何开启安全认证的方法,配置TLS保证API的安全。 简单粗暴的开启远程访问 1、开启方式 编辑docker文件:/usr/lib/systemd/system/docker.service vim ...
Docker 开启远程链接(2375端口)提供外部访问
唯爱丨晓翔的博客
02-15 3861
Docker 开启远程链接(2375端口)提供外部访问1. 登陆Docker所在服务器,编辑docker.service文件2. 利用Docker Client远程工具进行docker操作(无需登陆服务器)2.1 下载安装Dcoker远程链接工具3.软件声明 1. 登陆Docker所在服务器,编辑docker.service文件 vim /usr/lib/systemd/system/docker...
docker容器怎么开端口
Ajekseg的博客
03-25 9702
方法一 docker commit docker run -p containerid 通过以上命令创建新的镜像文件,run -p参数开放端口出来;实际使用上不方便。 方法二 宿主机(host)上修改iptables 规则,开放容器的响应端口;参考网上的命令 iptables -t nat -A DOCKER -p tcp -dport 8080 -j DNAT --to-destination 172.17.0.2:8080 当我们创建nginx镜像时,并且启动nginx时,我们只能在容器内部区访问n
Docker开放端口
Leon_Jinhai_Sun的博客
03-01 4836
Docker0为NAT桥,所以容器一般获得的是私有网络地址 给docker run命令使用-p选项即可实现端口映射,无需手动添加规则 -p 选项的使用 -p <containerPort> 将指定的容器端口映射到主机所有地址的一个动态端口 -p <hostPort>:<containerPort> 将容器端口<containerPort> 映射到指定的主机端口<hostPort> -p <ip>::<containe
docker开放端口
wangxinhe1018的专栏
09-19 5596
参考了文章<win10 Docker 创建Centos7 并使用xshell成功连接>实现了xsheel连接docker,但是docker中的端口在外部不能直接访问。后来搜到简书上的文章<Mac下 Docker 动态添加端口>,但是在"进入screen"步骤失败,一直报错"screen is terminating",后来参考菜鸟教程上的<Docker commit 命令>,先"docker commit :从容器创建一个新的镜像",然后执行"docker run :创建
Docker服务开放了这个端口,服务器分分钟变肉机
m0_67505824的博客
03-22 443
之前有很多朋友提过,当使用docker-maven-plugin打包SpringBoot应用的Docker镜像时,服务器需要开放2375端口。由于开放端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,今天我们来聊聊如何解决这个问题。 问题产生的原因 首先我们要明白问题产生的原因,才能更好地解决问题! Docker为了实现集群管理,提供了远程管理的端口Docker Daemon作为守护进程运行在后台,可以执行发送到管理端口上的Docker命令。 当我们修改do.
Docker开启远程安全访问的图文教程详解
09-29
Docker开启远程安全访问教程】 Docker 是一个流行的开源容器化平台,它允许开发者打包应用和服务,并在任何地方运行。然而,默认情况下,Docker守护进程仅监听本地接口,不允许远程访问。本教程将详细解释如何...
docker开启TLS远程连接
mxrain的博客
06-21 481
最近在研究cicd jenkins 需要连接阿里云服务器的docker 2375端口, 这里用TLS方式连接docker服务 一、制作证书(docker服务的机器) 建立证书存放位置 创建CA证书私钥 创建服务端私钥 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0
Docker开启远程安全访问
07-28
- *2* [Docker开放远程安全访问开启2376端口CA认证)](https://blog.csdn.net/guochengabcd/article/details/126284964)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...
Docker开启访问端口 || IDEA开发工具快速部署到服务器
最新发布
好幸运
03-01 834
2.1、首先进入docker配置文件打开 /usr/lib/systemd/system/docker.service 或运行以下命令。5.3、写好dockerfile。二、Linux服务器配置docker开放端口。5.1、安装docker插件。1.2、安装docker。1.1、安装Linux。三、重新加载Docker配置生效。五、配置idea开发者编译工具。一、Linux服务器环境。
Docker 给运行中的容器设置端口映射的方法
01-10
一、概念 Docker 端口映射即映射容器内应用的服务端口到本机宿主机器。 二、实现 当容器中运行一些网络应用,要让外部访问这些应用时,可以通过 -P 或 -p 参数两种方式来指定端口映射。 1. 随机映射 使用 -P 参数时,Docker 会随机映射一个端口到内部容器开放的网络端口,如下开启一个 nginx 服务: $ docker run -d -P nginx e93349d539119dc48dc841e117f6388d6afa6a6065b75a5b4aedaf5fb2a051fc $ $ docker ps CONTAINER ID IMAGE COMMAN
Docker启用TLS实现安全配置的步骤
01-10
前言 之前开启docker的2375 Remote API,接到公司安全部门的要求,需要启用授权,翻了下官方文档 Protect the Docker daemon socket 启用TLS 在docker服务器,生成CA私有和公共密钥 $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..................................................................................
docker配置2376端口
xwnxwn的专栏
06-17 820
也就是你接下来要允许那些ip可以连接到服务器的docker,因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的,因此,docker官方推荐使用加密的tcp连接,以Https的方式与客户端建立连接。
防火墙控制Docker端口开放与关闭
热门推荐
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
docker开放远程服务
运维Linux和python
12-24 1497
序言    一个容器提供一个服务,将需要的东西写成dockerfile,然后build成镜像,那么就能一次编译,到处浪啊浪。。。。    容器提供服务,其实和大多数的服务一样,同样也是CS架构的,如下图简略:    客户端主要是使用docker指令,例如docker pull redis;docker info 等命令,此命令会发送至docker daemon执行。    docker daemo
docker开启TLS远程访问 2376
lms99251的博客
07-18 1899
docker开启TLS远程访问的方法
centos7 docker开启认证远程端口2376配置
J_Lee
11-24 1155
centos7 docker开启认证远程端口2376配置
docker开启2376端口CA认证
qq_20161461的博客
09-27 565
Docker CA认证 1、创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2、创建密码 需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3、依次输入密码、国家、省、市、组织名称等 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 4、生成server-key.pem opens
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值