Docker--TLS加密通讯详解

最新推荐文章于 2022-03-16 19:16:11 发布
最新推荐文章于 2022-03-16 19:16:11 发布
阅读量251 收藏
点赞数
分类专栏: Docker 文章标签: docker 安全 linux 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47153988/article/details/108822100
版权

文章目录

一、Docker存在的安全问题

1、Docker 自身漏洞
作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。
黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。

2、Docker 源码问题
Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。但同时也带来了一些安全问题。例如下面三种方式:

黑客上传恶意镜像
如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
镜像使用在有漏洞的软件
Docker hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。
中间人攻击篡改镜像
镜像在传输过程中可能被篡改,目前现版本的 Docker 已经提供了相应的校验机制类预防这个问题。

3、Docker 架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发动攻击。

容器之间的局域网攻击
主机上的容器之间可以构成局域网,因此对局域网的 ARP 欺骗、嗅探、广播风暴等攻击方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。

DDoS 攻击耗尽资源
Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源,即可避免此类问题

有漏洞的系统调用
Docker 与虚拟机的一个重要的区别就是 Docker 与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管 Docker 使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。

共享 root 用户权限
如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机 root 权限。

二、TLS加密通讯

1、TLS介绍
TLS (Transport Layer Security)指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL(Secure Sockets Layer),即安全套接字层。
TLS 加密通讯:
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,C/S 两端应该通过加密方式通讯。

2、CA证书
证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。

CA 证书颁发的时候,证书中是包含密钥对的,同时用户信息也是进行加密的,所以CA颁发的证书具有两个特点:用户发送的信息都是加密的;身份的唯一性。

三、TLS安全加密配置

3.1 实验环境

两台服务器
master:192.168.179.121
client:192.168.179.122

3.2 实验操作

服务器端修改ip地址和其对应主机名的文件

[root@master ~]# vim /etc/hosts
......
127.0.0.1 master
[root@master ~]# ping master
PING master (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.031 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.080 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.029 ms
--- master ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 0.029/0.046/0.080/0.024 ms

服务器客户端修改ip地址和服务器端对应主机名的文件

[root@client ~]# vim /etc/hosts
......
192.168.179.121 master
[root@client ~]# ping master
PING master (192.168.179.121) 56(84) bytes of data.
64 bytes from master (192.168.179.121): icmp_seq=1 ttl=64 time=0.956 ms
64 bytes from master (192.168.179.121): icmp_seq=2 ttl=64 time=0.454 ms
64 bytes from master (192.168.179.121): icmp_seq=3 ttl=64 time=0.450 ms
--- master ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 0.450/0.620/0.956/0.237 ms

创建ca密钥

[root@master opt]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
....................................................................................................................++
..............++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:              '输入密码'
Verifying - Enter pass phrase for ca-key.pem:  '确认密码'

创建ca证书

[root@master opt]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:    '输入密码'

创键服务器私钥

[root@master opt]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...................................++
................................................................++
e is 65537 (0x10001)

创建签名私钥

[root@master opt]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

使用ca证书与私钥证书签名

[root@master opt]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:   '输入密码'

生成客户端密钥

[root@master opt]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
..........................................................................................................................................................................++
.......................++
e is 65537 (0x10001)

签名客户端

[root@master opt]# openssl req -subj "/CN=clinet" -new -key key.pem -out client.csr

创建配置文件

[root@master opt]# echo extendedKeyUsage=clientAuth > extfile.cnf

签名证书,需要(签名客户端,ca证书,ca密钥)

[root@master opt]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:   '输入密码'

删除多余文件

[root@master opt]# rm -rf ca.srl client.csr extfile.cnf server.csr

配置docker

[root@master opt]# vim /lib/systemd/system/docker.service '修改第14行'
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
[root@master opt]# mkdir /tls
[root@master opt]# mv *.pem /tls/
[root@master opt]# ls /tls/
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem
[root@master opt]# systemctl daemon-reload 
[root@master opt]# systemctl restart docker
[root@master opt]# netstat -ntap |grep 2376
tcp6       0      0 :::2376                 :::*                    LISTEN      69715/dockerd

将/tsl/ca.pem /tsl/cert.pem /tsl/key.pem 三个文件复制到客户端

[root@master opt]# cd /tls/
[root@master tls]# scp ca.pem root@192.168.179.122:/etc/docker/
The authenticity of host '192.168.179.122 (192.168.179.122)' can't be established.
ECDSA key fingerprint is SHA256:5MLxTEchmQObJRM4vR38q/FKydtpSmApeG1WEA2ElUE.
ECDSA key fingerprint is MD5:c7:17:1c:2d:9f:72:94:a1:91:9f:8f:13:06:05:1b:9e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.179.122' (ECDSA) to the list of known hosts.
root@192.168.179.122's password: 
ca.pem                                         100% 1765     1.2MB/s   00:00  
[root@master tls]# scp cert.pem root@192.168.179.122:/etc/docker/
root@192.168.179.122's password: 
cert.pem                                       100% 1655     1.5MB/s   00:00    
[root@master tls]# scp key.pem root@192.168.179.122:/etc/docker/
root@192.168.179.122's password: 
key.pem                                        100% 3243     1.7MB/s   00:00

客户端查看

[root@client ~]# ls /etc/docker/
ca.pem  cert.pem  daemon.json  key.json  key.pem

3.3 实验测试

服务器端下载镜像

[root@master tls]# docker pull nginx
[root@master tls]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
nginx               latest              7e4d58f0e5f3        2 weeks ago         133MB

客户端进行查看

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem --tlscert=cert.pem -H tcp://master:2376 images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
nginx               latest              7e4d58f0e5f3        2 weeks ago         133MB

客户端生成容器

[root@client docker]# docker --tlsverify --tlscacert ca.pem --tlskey key.pem --tlscert cert.pem -H tcp://master:2376 run -it httpd bash
root@f1dd83c2634f:/usr/local/apache2# pwd
/usr/local/apache2

服务器端进行查看

[root@master tls]# docker ps -a
CONTAINER ID        IMAGE               COMMAND                  CREATED              STATUS                          PORTS               NAMES
f1dd83c2634f        httpd               "bash"                   29 seconds ago       Up 28 seconds                   80/tcp              relaxed_cori
长恋离亭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker容器----TLS加密通讯
XuMin6的博客
04-28 537
Docker容器----TLS加密通讯 一:介绍TLSTLS (Transport Layer Security)指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL(Secure Sockets Layer),即安全套接字层。 1、TLS的目的 ​ 目的是建立起一个安全的通道。在建立安全通道时可以安全地传输数据...
偷偷学 Docker 系列 | TLS 通讯加密(理论+实操)
Xucf1
04-02 424
文章目录一、前置知识点1.密钥①对称密钥②非对称密钥③混合密钥(对称+非对称)2.签名3.数据完整性4.证书二、Docker 启用 TLS 进行加密通讯1.TLS 概述2.TLS 原理2.部署步骤 一、前置知识点 1.密钥 ①对称密钥 是一种加密和解密使用相同密钥的算法,效率较高,可加密内容较大,用来加密会话过程中的消息,适用于大规模生产的环境下使用 就像固定的一道门与一把钥匙一样,但是,对称加密算法在分布式网络系统上使用较为困难,因为密钥管理困难,使用成本较高,还是这个比方,你去收租,几百串钥匙你管的烦
tls加密通信
weixin_45725244的博客
04-28 372
两台虚拟机都安装了 docker-ce。 server端-----192.168.175.148 client端------192.168.175.149 //关闭防火墙 [root@promote ~]# systemctl stop firewalld.service [root@promote ~]# mkdir /root/tls //创建ca密码 [root@promote tls]#...
Docker容器—TLS加密通讯安全
Mr_XHC的博客
03-18 465
Docker-TLS加密通讯
docker——docker安全通信TLS
m0_47161295的博客
09-28 230
安全通信TLS一、TLS概述二、实验 一、TLS概述 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。 该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。 TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改。 TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协
docker-mailserver:使用Docker的全栈但简单的邮件服务器(SMTP,IMAP,LDAP,反垃圾邮件,防病毒等)
02-02
配合SSL/TLS加密,确保数据传输安全。 3. **LDAP服务**:通过集成LDAP,可以集中管理用户账户和权限,方便扩展和备份。SASLauthd-ldap模块使得邮件服务器能利用LDAP进行用户身份验证。 4. **SSL/TLS**:使用Let's ...
使用TLS加密通讯远程连接Docker的示例详解
01-20
通过以上步骤,Docker守护程序和客户端之间的通信将受到TLS加密的保护,防止未经授权的第三方窃听或篡改数据。这种安全配置对于在生产环境中管理和部署容器至关重要,确保了数据和资源的安全性。
docker-collectd:将统计信息转发到中央 collectd 服务器的微型 collectd 容器
07-11
可能需要启用 SSL/TLS 加密,以及限制容器的网络访问权限,防止未授权的数据泄露。 9. **监控告警**:结合中央 collectd 服务器,可以设置阈值告警,当特定性能指标超过预设值时触发通知,帮助运维人员及时发现并...
Docker开启远程安全访问的图文教程详解
09-29
正确的做法是启用基于证书的TLS加密。 #### 1. 创建CA(证书颁发机构)私钥和公钥 在Docker主机上,创建一个目录来存放私钥和公钥,并生成它们: ```bash mkdir -p /usr/local/ca cd /usr/local/ca openssl ...
E-PASAL
03-30
- SSL/TLS加密:确保数据在传输过程中不被截取,防止中间人攻击。 - PCI DSS合规:遵循支付卡行业数据安全标准,保护用户支付信息。 - 双因素认证:结合密码和手机验证码,增加账户安全性。 - 令牌化:用一次性...
关于docker安全Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docker 升级为 最新版本。 docker源码问题 Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭 建环境。但同时也带来了一些安全问题。 例如下面三种方式: (1)黑客上传恶意镜像 如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安
nginx-docker-letsencrypt:基本模板结合起来,让我们在Docker环境中使用Nginx进行加密
03-06
nginx-docker-letsencrypt 在docker-compose环境中结合使用certbot和nginx进行自动续订的方式,从letscrypt为主机创建SSL证书的基本样板。 此存储库旨在与使用docker-compose和nginx的项目一起使用。 检查80端口是否打开 在主机上启动测试环境 docker-compose up -f <path>/data/test-http/test.yml up 等到您在输出中看到类似以下内容的内容: ... /docker-entrypoint.sh: Configuration complete; ready for start up 转到网络浏览器,尝试通过http连接到主机: http://your-host-name 此时,您将知道80端口是否打开。 停止docker测试环境
ssl/tls加密通信
J0KER的博客
12-14 435
golang
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1329
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
Docker ------ TLS 加密通讯
weixin_45409371的博客
01-13 304
TLS 加密通讯: 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,C/S 两端应该通过加密方式通讯。 准备好两台虚拟机,各自安装好 docker,一台作为master、一台作为client。 master client 192.168.220.131 192.168.220.140 第一步:首先修改好主机名 master修改如下: [root@loca...
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1881
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
DockerTLS加密通讯详解
weixin_62453238的博客
03-15 5219
TLS安全加密配置 3.1 实验环境 两台服务器 master:192.168.179.121 client:192.168.179.122 3.2 实验操作 服务器端修改ip地址和其对应主机名的文件 服务器客户端修改ip地址和服务器端对应主机名的文件 创建ca密钥 创建ca证书 创键服务器私钥 创建签名私钥 使用ca证书与私钥证书签名 生成客户端密钥 签名客户端 创建配置文件 签名证书,需要(签名客户端,ca证书,ca密钥) ...
Docker---docker-TLS加密通讯
大E了的博客
11-18 223
文章目录一:Docker-TLS加密通讯部署1.1:什么是TLS?作用是什么?1.2:为什么要使用TLS加密1.3:部署TLS加密1.4:检查容器创建模板的内容的方式 一:Docker-TLS加密通讯部署 1.1:什么是TLS?作用是什么? TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。 TLS协议采用主从式架构模型,用于在
今天也来点DockerDocker-TLS加密通讯
糖球溜溜的博客
12-07 197
这里写目录标题一、TLS加密通讯的概述二、TLS加密通讯的部署2.1、搭建环境 一、TLS加密通讯的概述 用TLS加密通讯原因: 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。 对称密钥,例如DES、3DES、AES,长度不同,长度越长安全越高,解密速度越慢。 非对称密钥,分为公钥和私钥,例如RSA 公钥:所有人可知(锁),私钥(钥匙)个人身份信息,不可抵赖。 封装在证书中:个人信息,密钥,有效期 二、TLS加密通讯的部署 2.1、搭建环境
Docker-compose 教程全集 PDF 53页
最新发布
07-07
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 DockerCompose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器 (container)。Docker-Compose运行目录下的所有文件(docker-compose.yml,extends文件或环 境变量文件等)组成一个工程,若无特殊指定工程名即为当前目录名。一个工程当中可包含多个服务, 每个服务中定义了容器运行的镜像,参数,依赖。一个服务当中可包括多个容器实例,DockerCompose并没有解决负载均衡的问题,因此需要借助其它工具实现服务发现及负载均衡。 DockerCompose的工程配置文件默认为docker-compose.yml,可通过环境变量COMPOSE_FILE或-f参数自定 义配置文件,其定义了多个有依赖关系的服务及每个服务运行的容器。 使用一个Dockerfile模板文件, 可以让用户很方便的定义一个单独的应用容器。在工作中,经常会碰到需要多个容器相互配合来完成某 项任务的情况。例如要实现一个Web项目,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值