Docker---docker-TLS加密通讯

最新推荐文章于 2022-05-27 11:31:08 发布
最新推荐文章于 2022-05-27 11:31:08 发布
阅读量216 收藏 1
点赞数
文章标签: docker tls docker tls加密 docker安全
俄滴,俄滴,都四俄滴
本文链接:https://blog.csdn.net/weixin_48190860/article/details/109756518
版权

文章目录

一:Docker-TLS加密通讯部署

1.1:什么是TLS?作用是什么?

  • TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。
  • TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改
  • TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。

1.2:为什么要使用TLS加密

  • 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。

1.3:部署TLS加密

  • 环境需求
主机IP地址所需环境
master20.0.0.111docker-ce
client20.0.0.112docker-ce
  • 环境优化
[root@localhost ~]# hostnamectl set-hostname master   ###修改主机名
[root@localhost ~]# su
[root@master ~]# vi /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
20.0.0.111 master    
20.0.0.112 client    ###解析地址

[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# vi /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
20.0.0.111 master
20.0.0.112 client
  1. master服务器创建CA密码与CA证书
[root@master ~]# mkdir TLS
[root@master ~]# cd TLS/
[root@master TLS]# ls
[root@master TLS]# openssl genrsa -aes256 -out ca-key.pem 4096   '//使用rsa非对称秘钥,位数256位,-out 输出密钥文件ca-key.pem'
Generating RSA private key, 4096 bit long modulus
.........................................................++
.................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:  //输入自定义密码123456
Verifying - Enter pass phrase for ca-key.pem:   //确认密码
[root@master TLS]# ls
ca-key.pem   //ca密码文件创建成功
[root@master TLS]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem  //创建ca证书
Enter pass phrase for ca-key.pem:  //输入ca密码:123456
//subj 项目名称,new 新请求,x509 输出一个x509结构,而不是cert. req,days 由-x509生成的证书的有效天数。
[root@master TLS]# ls
ca-key.pem  ca.pem   //ca证书创建成功
  1. 在master服务器上创建服务器与客户端节点证书
  • 通过在服务端上创建tls密钥证书,再下发给客户端,客户端通过私钥访问容器,这样就保证的docker通讯的安全性
  • CA证书只是一个官方认证的证书,接下来要创建server、client节点的证书,此时创建证书有三步:
    1.设置私钥 确保安全加密
    2.私钥签名 确保身份真实不可抵赖
    3.制作证书
    csr是一个签名文件
[root@master TLS]# openssl genrsa -out server-key.pem 4096  //创建服务器秘钥
Generating RSA private key, 4096 bit long modulus
...........................++
.++
e is 65537 (0x10001)
[root@master TLS]# ls
ca-key.pem  ca.pem  server-key.pem
[root@master TLS]# openssl req -new -key server-key.pem -sha256 -subj "/CN=*" -out server.csr   //基于服务端秘钥文件生成csr签名文件
[root@master TLS]# ls
ca-key.pem  ca.pem  server.csr  server-key.pem
[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem  //使用ca证书与私钥证书签名,导入签名ct.csr,指定CA文件和密钥文件,确定官方授权。输入自定义密码123456
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  server-cert.pem  server.csr  server-key.pem
[root@master TLS]# openssl genrsa -out client-key.pem 4096   //生成客户端密钥
Generating RSA private key, 4096 bit long modulus
................................++
..........++
e is 65537 (0x10001)
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client-key.pem  server-cert.pem  server.csr  server-key.pem
[root@master TLS]# openssl req -subj "/CN=client" -new -key client-key.pem -out client.csr   /生成客户端签名文件
[root@master TLS]# ls
ca-key.pem  ca.srl      client-key.pem   server.csr
ca.pem      client.csr  server-cert.pem  server-key.pem
[root@master TLS]# echo extendedKeyUsage=clientAuth > extfile.cnf   //创建配置文件
[root@master TLS]# ls
ca-key.pem  ca.srl      client-key.pem  server-cert.pem  server-key.pem
ca.pem      client.csr  extfile.cnf     server.csr
[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem -extfile extfile.cnf   //基于ca证书,ca秘钥生成签名证书
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client-cert.pem  client.csr  client-key.pem  extfile.cnf  server-cert.pem  server.csr  server-key.pem
[root@master TLS]# rm -rf ca.srl client.csr extfile.cnf server.csr '//删除多余文件'
[root@master TLS]# ls
ca-key.pem  ca.pem  client-cert.pem  client-key.pem  server-cert.pem  server-key.pem
  1. 配置docker
[root@server TLS]# vim /usr/lib/systemd/system/docker.service 
//找到ExecStart修改成以下配置
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/TLS/ca.pem --tlscert=/root/TLS/server-cert.pem --tlskey=/root/TLS/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
[root@server TLS]# systemctl daemon-reload
[root@server TLS]# systemctl restart docker
[root@master TLS]# netstat -natp | grep docker
tcp6       0      0 :::2376                 :::*                    LISTEN      49979/dockerd       
[root@master TLS]# setenforce 0
  1. 将client主机所需文件复制过去
[root@master TLS]# scp ca.pem root@20.0.0.112:/etc/docker
The authenticity of host '20.0.0.112 (20.0.0.112)' can't be established.
ECDSA key fingerprint is SHA256:Vxy4zHvwk81l+PWPJmRA7hPBx9ygvOOkGCaslE9sAHk.
ECDSA key fingerprint is MD5:46:25:e5:0b:d7:14:7d:4d:2e:28:99:0a:fd:4e:07:31.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '20.0.0.112' (ECDSA) to the list of known hosts.
root@20.0.0.112's password: 
ca.pem                                                     100% 1765   953.6KB/s   00:00    
[root@master TLS]# scp client* root@20.0.0.112:/etc/docker/
root@20.0.0.112's password: 
client-cert.pem                                            100% 1696   732.8KB/s   00:00    
client-key.pem                                             100% 3243     3.9MB/s   00:00
  1. 本地验证
[root@master TLS]# docker --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H tcp://master:2376 images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
httpd               latest              3dd970e6b110        5 weeks ago         138MB
  1. client节点指定加密文件远程调用测试
[root@client ~]# cd /etc/docker/
[root@client docker]# ls
ca.pem  client-cert.pem  client-key.pem  daemon.json  key.json
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=client-cert.pem --tlskey=client-key.pem -H tcp://master:2376 images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
httpd               latest              3dd970e6b110        5 weeks ago         138MB

1.4:检查容器创建模板的内容的方式

  • 2016 年的 8 月 Github 上大量泄露个人或企业各种账号密码,出现这种问题一般都使用 dockerfile 或者 docker-compose 文件创建容器。如果这些文件中存在账号密码等认证信息, 一旦 Docker 容器对外开放,则这些宿主机上的敏感信息也会随之泄露。
  • 可通过以下方式检查容器创建模板的内容
# check created users 
grep authorized_keys $dockerfile 
# check OS users 
grep "etc/group" $dockerfile 
# Check sudo users 
grep "etc/sudoers.d" $dockerfile 
# Check ssh key pair 
grep ".ssh/.*id_rsa" $dockerfile 
# Add your checks in below
我想喝橙汁儿~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于docker安全Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5089
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
Docker---docker中存在的一些安全问题
大E了的博客
11-17 1683
文章目录一:容器与虚拟机的区别二:Docker存在的安全问题三:Docker 架构缺陷与安全机制四:Docker 安全基线标准4.1:内核级别4.2:主机级别4.3:网络级别4.4:镜像级别4.5:容器级别4.6:其他设置五:其他需要主义的事项5.1:容器最小化5.2:Docker remote api 访问控制 一:容器与虚拟机的区别 不同点 container VM 启动速度 秒级 分钟级 运行性能 接近原生(直接在内核中运行) 5%左右损失 磁盘占用 MB GB 数量 成
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1276
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
Docker 配置 TLS
贝克街的流浪猫
04-03 994
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
docker-websvn:用于 Subversion 存储库的 Websvn UI
06-25
如果您希望它位于不同的路径下或使用 TLS/SSL 加密,那么前端代理可以提供该功能。 此外,您可以设置环境变量 SVN_UID 和 SVN_GID 来控制将访问存档(和 htpasswd)的用户和组。 您可以通过将其放置在 /svn/websvn....
docker-elk:由Docker和Compose提供支持的弹性堆栈(ELK)
02-05
Docker上的弹性堆栈(ELK) 使用DockerDocker Compose运行最新版本的 。... :在Elasticsearch中启用TLS加密。 :Search Guard支持 哲学 我们的目标是为任何想尝试使用这种强大的技术组合的人提供最简单的
docker-stubby-dnsmasq:Stubby + Dnsmasq用于TLS上的DNS和可选DHCP的Docker映像
03-03
Stubby对从客户端计算机(台式机或便携式计算机)发送到DNS隐私解析器的DNS查询进行加密,从而提高了最终用户的隐私。 从0.3版本开始,Stubby还支持基于HTTP的DNS。 该Docker映像包含版本0.3。 Dnsmasq是一种轻巧...
docker-Postfix-AD:具有Microsoft AD后端的CentOS 7上的邮件服务器
02-18
Docker-Postfix-MailServer 特征 ...让我们在Docker主机中准备好加密。 例如mail.test.com(可以加密),必须与相同将主机的/ etc / letsencrypt映射到此docker映像 开始步骤 创建体积 docker volu
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1839
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker TLS配置
fuzhaohui202的专栏
08-28 1865
公司最近采用了Spring Boot架构以Docker容器服务作为载体给客户提供服务,但是最近碰到一个严重的安全问题,这也是这几个月来一直忙碌更换新的架构而忽视的安全问题,但是最近随着产品上线客户的使用安全问题被赤裸裸的暴露出来,好在Docker提供了证书安全保护方案,下面就来讲一下配置与采过的坑(其中命令都是官网提供,具体意义请查询官网https://docs.docker.com/engi...
docker配置tls (二) 生成tls脚本
lanwp5302的博客
04-25 1049
一、生成tls脚本 #!/usr/bin/env bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- :<<! author: la...
docker设置tls加密远程访问
qq_38120778的博客
05-27 647
一、生成密钥 1、在Linux服务器上建一个目录,进入此目录,我这里是/root/docker 创建根证书RSA私钥: openssl genrsa -aes256 -out ca-key.pem 4096#输入密码 2、生成CA秘钥文件ca-key.pem; 以此秘钥创建CA证书,自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发: openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca
docker 生成TLS认证证书
martin_violet的博客
04-14 2168
docker ssl TSL 证书
docker安全管理与TLS/LLS加密通信
qq_44135433的博客
11-16 578
xxxxxx
Docker--TLS加密通讯部署
weixin_45693462的博客
04-29 279
什么是TLS加密TLS:传输层安全协议,是一种安全协议,目的是为互联网通信提供安全及数据完整性保障 TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性 DockerTLS加密通讯配置 为了防止链路劫持、会话...
Docker-CE Registry SSL方式安装
QFYJ_TL的博客
08-24 333
1、准备工作 先准备好域名:dockerhub.testfit.com 和安装好Docker-CE,安装Docker-CE,这里dockerhub为testfit.com的子域名。 2、Ceonts7下自制证书: mkdir -p /app/docker-registry cd /app/docker-registry mkdir -p certs &amp;&amp; openssl r...
Docker - 实战TLS加密通讯
Gblfy_Blog
06-12 1145
使用说明 演示环境(centos7,docker17.06.0-ce) 创建一个文件夹 mkdir /ssl cd /ssl 创建ca密钥 openssl genrsa -aes256 -out ca-key.pem 4096 创建ca证书 openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out...
docker -p 和nginx
最新发布
07-15
使用 Nginx,你可以将多个后端服务进行负载均衡,并且能够提供静态文件服务、SSL/TLS 加密等功能。通过结合 Docker 和 Nginx,你可以将 Nginx 部署到容器中,并通过端口映射将主机上的请求转发到 Nginx 容器内部。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值