Docker--TLS加密通讯详解

一、Docker存在的安全问题

1、Docker 自身漏洞
作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。
黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。

2、Docker 源码问题
Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。但同时也带来了一些安全问题。例如下面三种方式:

黑客上传恶意镜像
如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
镜像使用在有漏洞的软件
Docker hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。
中间人攻击篡改镜像
镜像在传输过程中可能被篡改,目前现版本的 Docker 已经提供了相应的校验机制类预防这个问题。

3、Docker 架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发动攻击。

容器之间的局域网攻击
主机上的容器之间可以构成局域网,因此对局域网的 ARP 欺骗、嗅探、广播风暴等攻击方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。

DDoS 攻击耗尽资源
Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源,即可避免此类问题

有漏洞的系统调用
Docker 与虚拟机的一个重要的区别就是 Docker 与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管 Docker 使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。

共享 root 用户权限
如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机 root 权限。

二、TLS加密通讯

1、TLS介绍
TLS (Transport Layer Security)指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL(Secure Sockets Layer),即安全套接字层。
TLS 加密通讯:
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,C/S 两端应该通过加密方式通讯。

2、CA证书
证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。

CA 证书颁发的时候,证书中是包含密钥对的,同时用户信息也是进行加密的,所以CA颁发的证书具有两个特点:用户发送的信息都是加密的;身份的唯一性。

三、TLS安全加密配置

3.1 实验环境

两台服务器
master:192.168.179.121
client:192.168.179.122

3.2 实验操作

服务器端修改ip地址和其对应主机名的文件

[root@master ~]# vim /etc/hosts
......
127.0.0.1 master
[root@master ~]# ping master
PING master (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.031 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.080 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.029 ms
--- master ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 0.029/0.046/0.080/0.024 ms

服务器客户端修改ip地址和服务器端对应主机名的文件

[root@client ~]# vim /etc/hosts
......
192.168.179.121 master
[root@client ~]# ping master
PING master (192.168.179.121) 56(84) bytes of data.
64 bytes from master (192.168.179.121): icmp_seq=1 ttl=64 time=0.956 ms
64 bytes from master (192.168.179.121): icmp_seq=2 ttl=64 time=0.454 ms
64 bytes from master (192.168.179.121): icmp_seq=3 ttl=64 time=0.450 ms
--- master ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 0.450/0.620/0.956/0.237 ms

创建ca密钥

[root@master opt]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
....................................................................................................................++
..............++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:              '输入密码'
Verifying - Enter pass phrase for ca-key.pem:  '确认密码'

创建ca证书

[root@master opt]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:    '输入密码'

创键服务器私钥

[root@master opt]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...................................++
................................................................++
e is 65537 (0x10001)

创建签名私钥

[root@master opt]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

使用ca证书与私钥证书签名

[root@master opt]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:   '输入密码'

生成客户端密钥

[root@master opt]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
..........................................................................................................................................................................++
.......................++
e is 65537 (0x10001)

签名客户端

[root@master opt]# openssl req -subj "/CN=clinet" -new -key key.pem -out client.csr

创建配置文件

[root@master opt]# echo extendedKeyUsage=clientAuth > extfile.cnf

签名证书,需要(签名客户端,ca证书,ca密钥)

[root@master opt]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:   '输入密码'

删除多余文件

[root@master opt]# rm -rf ca.srl client.csr extfile.cnf server.csr

配置docker

[root@master opt]# vim /lib/systemd/system/docker.service '修改第14行'
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
[root@master opt]# mkdir /tls
[root@master opt]# mv *.pem /tls/
[root@master opt]# ls /tls/
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem
[root@master opt]# systemctl daemon-reload 
[root@master opt]# systemctl restart docker
[root@master opt]# netstat -ntap |grep 2376
tcp6       0      0 :::2376                 :::*                    LISTEN      69715/dockerd  

将/tsl/ca.pem /tsl/cert.pem /tsl/key.pem 三个文件复制到客户端

[root@master opt]# cd /tls/
[root@master tls]# scp ca.pem root@192.168.179.122:/etc/docker/
The authenticity of host '192.168.179.122 (192.168.179.122)' can't be established.
ECDSA key fingerprint is SHA256:5MLxTEchmQObJRM4vR38q/FKydtpSmApeG1WEA2ElUE.
ECDSA key fingerprint is MD5:c7:17:1c:2d:9f:72:94:a1:91:9f:8f:13:06:05:1b:9e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.179.122' (ECDSA) to the list of known hosts.
root@192.168.179.122's password: 
ca.pem                                         100% 1765     1.2MB/s   00:00  
[root@master tls]# scp cert.pem root@192.168.179.122:/etc/docker/
root@192.168.179.122's password: 
cert.pem                                       100% 1655     1.5MB/s   00:00    
[root@master tls]# scp key.pem root@192.168.179.122:/etc/docker/
root@192.168.179.122's password: 
key.pem                                        100% 3243     1.7MB/s   00:00 

客户端查看

[root@client ~]# ls /etc/docker/
ca.pem  cert.pem  daemon.json  key.json  key.pem

3.3 实验测试

服务器端下载镜像

[root@master tls]# docker pull nginx
[root@master tls]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
nginx               latest              7e4d58f0e5f3        2 weeks ago         133MB

客户端进行查看

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem --tlscert=cert.pem -H tcp://master:2376 images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
nginx               latest              7e4d58f0e5f3        2 weeks ago         133MB

客户端生成容器

[root@client docker]# docker --tlsverify --tlscacert ca.pem --tlskey key.pem --tlscert cert.pem -H tcp://master:2376 run -it httpd bash
root@f1dd83c2634f:/usr/local/apache2# pwd
/usr/local/apache2

服务器端进行查看

[root@master tls]# docker ps -a
CONTAINER ID        IMAGE               COMMAND                  CREATED              STATUS                          PORTS               NAMES
f1dd83c2634f        httpd               "bash"                   29 seconds ago       Up 28 seconds                   80/tcp              relaxed_cori
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值