docker给2376连接端口设置CA证书详细过程

最新推荐文章于 2024-07-24 10:09:23 发布
最新推荐文章于 2024-07-24 10:09:23 发布
阅读量1k 收藏 5
点赞数
分类专栏: Linux服务器运维 文章标签: linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44012722/article/details/105644319
版权

问题的出现

因为docker 默认是root 权限,允许所有人访问,直接把2375端口暴露在外网相当于直接把服务器的root 权限拱手送人,因此我们需要构建一个加密的TCP链接,以Https的方式连接到远程的docker 服务器

如何修复该漏洞

如果要安全的管理远程Docker主机,应该怎么做呢?其实,Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了。

首先要准备5个证书和秘钥文件,分别是ca.pem、server-cert.pem、server-key.pem、client-cert.pem和client-key.pem。其中,server-cert.pem中限制了能够访问Docker主机的客户端列表。

启动Docker Deamon时,需要设置-H、–tls、–tlscacert=ca.pem、–tlscert=server-cert.pem和–tlskey=server-key.pem。此时,只有客户端列表中的主机能够访问Docker主机。

1.创建一个ca 的文件夹

mkdir -p /usr/local/ca
cd /usr/local/ca

2.创建一个ca-key.pem

sudo openssl genrsa -aes256 -out ca-key.pem 4096
这个操作会提示你需要输入密码和确认密码,请记住这个密码

3.创建ca.pem 填写一些基本的信息

sudo openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
这些信息可以随便填写不用太在意 实在有选择困难症的可以参考我的 填写方式
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Hangzhou, Zhejiang Province, People's Republic of China
Locality Name (eg, city) [Default City]:XIACHENG
Organization Name (eg, company) [Default Company Ltd]:WRETCHANT.COM
Organizational Unit Name (eg, section) []:ONLINE ZUOZUO
Common Name (eg, your name or your server's hostname) []:wretchant

4.生成server-key.pem

sudo openssl genrsa -out server-key.pem 4096

5.绑定IP或者域名(这里的$HOST是你的服务器的外网IP)

sudo openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
这里可能会报一个错
Can't load /home/lzj/.rnd into RNG 140679038767552:error:2406F079
:random number generator:RAND_load_file:Cannot open file:../crypto
/rand/randfile.c:88:Filename=/home/lzj/.rnd
解决方法
//进入上面所提及的Can't load的目录
cd /home/lzj
sudo openssl rand -writerand .rnd

6.配置白名单($HOST 就是你第5步设置的那个 $HOST)

echo subjectAltName = IP:$HOST,IP:0.0.0.0 >> extfile.cnf
你如果希望只有指定的IP能够访问的话,请把0.0.0.0 改为指定IP,不过一般情况下,个人的网络是没有固定的公网IP的,所以建议设置成0.0.0.0,但是需要证书才能访问

7.生成server-cert.pem

echo extendedKeyUsage = serverAuth >> extfile.cnf

sudo openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

//执行这个命令他会让你输入之前创建ca-key.pem的那个密码

8.创建key.pem

sudo openssl genrsa -out key.pem 4096

9.创建client.csr(客户端签名请求需要用到的临时文件)

sudo openssl req -subj '/CN=client' -new -key key.pem -out client.csr


echo extendedKeyUsage = clientAuth >> extfile.cnf

10.生成cert.pem

sudo openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf

11.修改证书为只读权限保证证书安全

sudo chmod -v 0400 ca-key.pem key.pem server-key.pem
sudo chmod -v 0444 ca.pem server-cert.pem cert.pem

12.删除生成的临时文件

sudo rm -rf client.csr server.csr

13.把证书复制到docker配置目录下

cp server-*.pem  /etc/docker/
cp ca.pem /etc/docker/

14.修改docker.service

sudo vim /lib/systemd/system/docker.service
把里面的ExecStart值设置为下面
/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

15.重启docker

···shell
systemctl daemon-reload
systemctl restart docker
service docker restart
···

16.下载连接所需的证书文件

在这里插入图片描述

把这三个文件放入一个文件夹中

17.idea配置

在这里插入图片描述

在certificates folder指向你放三个证书的文件夹
默认是tcp 的,你要改成https,端口检查一下
如果显示是successful就代表链接成功
这里如果你是出现这个错误

在这里插入图片描述

原因基本是证书配置的问题,要好好检查一下配置过程
.树懒.
关注
专栏目录
《伸手系列》之Docker开启2376端口CA认证
御前提笔小书童
01-20 1109
前言 众所周知,docker可以开启远程访问API,但是发现很多都是直接开启2375端口,未做安全配置,从而出现安全隐患,最近在将docker环境统一portainer管理时,发现有这种情况。本文讲解如何开启安全认证的方法,配置TLS保证API的安全。 简单粗暴的开启远程访问 1、开启方式 编辑docker文件:/usr/lib/systemd/system/docker.service vim ...
docker证书文件生成+Idea使用证书连接docker
寂寞GOD的博客
08-12 779
docker开放端口后只要知道ip和端口号就可以随意管理镜像和容器非常不安全,生成环境中要使用证书连接管理docker
docker配置2376端口
xwnxwn的专栏
06-17 851
也就是你接下来要允许那些ip可以连接到服务器的docker,因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的,因此,docker官方推荐使用加密的tcp连接,以Https的方式与客户端建立连接
docker】部署证书过期监控系统mouday/domain-admin
最新发布
阿杰
07-24 511
证书过期了再去部署证书容易被骂,就找了一个开源的证书过期系统来部署一下。
docker 2376端口 CA 认证,并不能阻止服务器成为肉鸡
a01021111230的博客
09-10 617
看网上很多评论;自签CA证书,生成服务器CA签名证书,和客户端CA签名证书docker服务端配置客户端,允许docker远程控制的客户端,配置客户端CA;只有该客户端CA签名证书才能远程控制docker;其实不对的。 docker的服务端CA,和客户端CA,只是完成了双方的信息双向加密。docker并没有进行双方身份的认证,所以2376端口是不安全的。 可以使用两套CA证书机构,分别签服务端CA证书,和客户端证书,验证,本人已验证,直接说结论: 客户端随便一个CA证书签名的客户端CA证书都可
docker开启2376端口CA认证
qq_20161461的博客
09-27 578
Docker CA认证 1、创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2、创建密码 需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3、依次输入密码、国家、省、市、组织名称等 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 4、生成server-key.pem opens
docker搭建私有仓库、自签发证书、登录认证
小薯条的博客
12-26 3274
#先吧私有仓库down下来,这需要一点时间,刚好这中间的时间,我们可以准备一下其他的东西 docker pull registry 紧接着,registry需要https运行环境,所以来生成我们自己的证书(简单说明一下,目前的registry版本是2,之前的1是支持非ssl的,docker在0.9以下。) 先交代一下环境:物理机是win10,使用hyper-v 虚拟一个cenots(ip...
docker设置TLS,保证端口2375的安全连接。亲测可用~
qq971473597的博客
07-31 1617
前提:登录服务器,创建一个保存证书的文件夹。 我的路径是 /home/bright/ca 1.生成私有和公有秘钥 1.1 输入命令 openssl genrsa -aes256 -out ca-key.pem 4096 会有提示:Enter pass phrase for ca-key.pem: 输入,并记住这个ca-key密码! 1.2 输入命令 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 会有提示:Ente
docker代理设置ssl证书_家用主机 篇六:群晖Docker配置SSL证书实现https安全访问
weixin_39772352的博客
12-21 1514
家用主机 篇六:群晖Docker配置SSL证书实现https安全访问2020-05-10 14:18:1419点赞183收藏28评论你是AMD Yes党?还是intel和NVIDIA的忠实簇拥呢?最新一届#装机大师赛#开始啦!本次装机阵营赛分为3A红组、intel NVIDIA蓝绿组、混搭组还有ITX组,实体or虚拟装机都能参与,可使用值得买定制化DIY装机工具在文中展现配置单!每个小组均有精美礼...
Docker-nginx-cloudflare-ssl-proxy:如何使用cloulflare ssl和设置代理在NGINX中安装Origin CA证书
05-23
Docker-nginx-cloudflare-ssl-proxy 支持的标签 latest , 1.10.3-ubuntu 什么是Nginx-cloudflare-ssl-proxy 该docker映像是使用clouldflare完整SSL的HTTPS的开源服务代理WEP应用程序服务器(WAS) 这有助于将...
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5181
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
IDEA 一键部署 SpringBoot 项目到远程服务器 Docker
程序员界
09-09 349
Docker作为当前较为流行的微服务容器管理工具, 极大的方便了传统运维部署的工作. IDEA作为地表最强Java开发IDE, 自然提供了对Docker服务的支持. 本篇文章就来记录下如何使用IDEA 一键部署 SpringBoot 到远程服务器 Docker 内. 应用场景 先来看下传统的部署流程: 传统开发流程还好, 每个版本的间隔时间较长. 但是对于小型敏捷开发团队, 这个流程就很要命了! 阿航个人的经验, 每个项目从打包到重启Docker服务器, 预计要花费近10~20分钟! 痛不欲.
docker开启TLS远程访问 2376
lms99251的博客
07-18 1930
docker开启TLS远程访问的方法
python socket中实现SSL/TLS认证
weixin_68789096的博客
09-13 1829
官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
Docker 服务 TLS 证书全自动生成
weixin_33898876的博客
12-20 631
以下是我整理的一个 Bash 脚本代码,保存为 auto-tls-certs.sh 脚本文件,修改配置信息,然后 /bin/bash auto-tls-certs.sh 执行即可。 整个过程无需人工干预!不多说,直接上代码! Bash 脚本代码 #!/bin/bash # # Created by L.STONE <web.de...
Docker暴露2375端口,引起安全漏洞
热门推荐
xinxinyunli的博客
05-30 2万+
Docker暴露2375端口,引起安全漏洞
An error occurred trying to connect: Post https://192.168.59.103:2376/v1.19/containers/create
weixin_34293059的博客
07-11 943
在Windows下安装Boot2Docker,运行docker run hello-world命令,出现如下错误: An error occurred trying to connect: Post https://192.168.59.103:2376/v1.19/containers/create: x509: certificate is valid for 127....
Docker配置SSL证书实现远程安全连接
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 ``` 之后,应用这些更改并重启...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值