Docker安全管理-----------TLS加密通讯

最新推荐文章于 2023-07-05 17:19:51 发布
最新推荐文章于 2023-07-05 17:19:51 发布
阅读量635 收藏
点赞数
分类专栏: Docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48191138/article/details/109757063
版权

目录

一、TLS加密通讯

■为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。

1.1 在master服务器上

1.1.1 创建目录

mkdir /tls
cd /tls

1.1.2 修改主机名

hostnamectl set-hostname master
su

1.1.3 添加映射

echo “127.0.0.1 master” >>/etc/hosts

1.1.4 创建ca密钥

openssl genrsa -aes256 -out ca-key.pem 4096
//输入123123
ca-key.pem

1.1.5 创建ca证书

openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj “/CN=*” -out ca.pem //输入123123
ca-key.pem ca.pem

1.1.6 创建服务器私钥

openssl genrsa -out server-key.pem 4096
ca-key.pem ca.pem server-key.pem

1.1.7 签名私钥

openssl req -subj “/CN=*” -sha256 -new -key server-key.pem -out server.csr
ca-key.pem ca.pem server.csr server-key.pem

1.1.8 使用ca证书与私钥证书签名

openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
ca-key.pem ca.pem ca.srl server-cert.pem server.csr server-key.pem

1.1.9 生成客户端密钥

openssl genrsa -out key.pem 4096
ca-key.pem ca.pem ca.srl key.pem server-cert.pem server.csr server-key.pem

1.1.10 签名客户端

openssl req -subj “/CN=client” -new -key key.pem -out client.csr
ca-key.pem ca.srl key.pem server.csr
ca.pem client.csr server-cert.pem server-key.pem

1.1.11 创建配置文件

echo extendedKeyUsage=clientAuth > extfile.cnf

1.1.12 签名证书(签名客户端,ca证书,ca密钥)

openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
ca-key.pem ca.srl client.csr key.pem server.csr
ca.pem cert.pem extfile.cnf server-cert.pem server-key.pem

1.1.13 删除多余文件

rm -rf ca.srl client.csr extfile.cnf server.csr
ca-key.pem ca.pem cert.pem key.pem server-cert.pem server-key.pem

1.1.14 配置docker

vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

1.1.15 重启进程和docker服务

systemctl daemon-reload
systemctl restart docker

1.1.16 将 /tls/ca.pem /tls/cert.pem /tls/key.pem 三个文件复制到另一台主机

scp ca.pem root@20.0.0.25:/etc/docker/
scp cert.pem root@20.0.0.25:/etc/docker/
scp key.pem root@20.0.0.25:/etc/docker/

1.1.17 本地验证

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
##########################################
Client: Docker Engine - Community
Version: 19.03.13
API version: 1.40
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:03:45 2020
OS/Arch: linux/amd64
Experimental: false

Server: Docker Engine - Community
Engine:
Version: 19.03.13
API version: 1.40 (minimum version 1.12)
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:02:21 2020
OS/Arch: linux/amd64
Experimental: false
containerd:
Version: 1.3.7
GitCommit: 8fba4e9a7d01810a393d5d25a3621dc101981175
runc:
Version: 1.0.0-rc10
GitCommit: dc9208a3303feef5b3839f4323d9beb36df0a9dd
docker-init:
Version: 0.18.0
GitCommit: fec3683
#####################################################

1.2 在client上

1.2.1 添加映射

echo “20.0.0.24 master” >>/etc/hosts

1.2.2 客户端登录操作

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
##########################################
Client: Docker Engine - Community
Version: 19.03.13
API version: 1.40
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:03:45 2020
OS/Arch: linux/amd64
Experimental: false

Server: Docker Engine - Community
Engine:
Version: 19.03.13
API version: 1.40 (minimum version 1.12)
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:02:21 2020
OS/Arch: linux/amd64
Experimental: false
containerd:
Version: 1.3.7
GitCommit: 8fba4e9a7d01810a393d5d25a3621dc101981175
runc:
Version: 1.0.0-rc10
GitCommit: dc9208a3303feef5b3839f4323d9beb36df0a9dd
docker-init:
Version: 0.18.0
GitCommit: fec3683
#####################################################

博博的博客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于docker安全Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docker 升级为 最新版本。 docker源码问题 Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭 建环境。但同时也带来了一些安全问题。 例如下面三种方式: (1)黑客上传恶意镜像 如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安
Docker---docker-TLS加密通讯
大E了的博客
11-18 217
文章目录一:Docker-TLS加密通讯部署1.1:什么是TLS?作用是什么?1.2:为什么要使用TLS加密1.3:部署TLS加密1.4:检查容器创建模板的内容的方式 一:Docker-TLS加密通讯部署 1.1:什么是TLS?作用是什么? TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。 TLS协议采用主从式架构模型,用于在
tls加密通信
weixin_45725244的博客
04-28 365
两台虚拟机都安装了 docker-ce。 server端-----192.168.175.148 client端------192.168.175.149 //关闭防火墙 [root@promote ~]# systemctl stop firewalld.service [root@promote ~]# mkdir /root/tls //创建ca密码 [root@promote tls]#...
Docker--TLS加密通讯部署
weixin_45693462的博客
04-29 280
什么是TLS加密TLS:传输层安全协议,是一种安全协议,目的是为互联网通信提供安全及数据完整性保障 TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性 DockerTLS加密通讯配置 为了防止链路劫持、会话...
DockerTLS加密通讯详解
weixin_62453238的博客
03-15 5204
TLS安全加密配置 3.1 实验环境 两台服务器 master:192.168.179.121 client:192.168.179.122 3.2 实验操作 服务器端修改ip地址和其对应主机名的文件 服务器客户端修改ip地址和服务器端对应主机名的文件 创建ca密钥 创建ca证书 创键服务器私钥 创建签名私钥 使用ca证书与私钥证书签名 生成客户端密钥 签名客户端 创建配置文件 签名证书,需要(签名客户端,ca证书,ca密钥) ...
docker-elk:由Docker和Compose提供支持的弹性堆栈(ELK)
02-05
Docker上的弹性堆栈(ELK) 使用DockerDocker Compose运行最新版本的 。... :在Elasticsearch中启用TLS加密。 :Search Guard支持 哲学 我们的目标是为任何想尝试使用这种强大的技术组合的人提供最简单的
docker-stubby-dnsmasq:Stubby + Dnsmasq用于TLS上的DNS和可选DHCP的Docker映像
03-03
Stubby对从客户端计算机(台式机或便携式计算机)发送到DNS隐私解析器的DNS查询进行加密,从而提高了最终用户的隐私。 从0.3版本开始,Stubby还支持基于HTTP的DNS。 该Docker映像包含版本0.3。 Dnsmasq是一种轻巧...
bunkerized-nginx:默认情况下,nginx Docker镜像安全
02-02
nginx Docker镜像默认是安全的。 每次需要Web服务器或反向代理时,都避免遵循安全最佳做法的麻烦。 Bunkerized-nginx提供了通用的安全配置,设置和工具,因此您无需自己执行此操作。 非详尽的功能列表: 透明的...
containerized-guacamole:Apache Guacamole开箱即用Nginx反向代理,让加密进行设置。 使用Docker Compose可以轻松轻松地进行部署。 仅使用官方鳄梨酱Docker映像
05-23
带有TLS的容器中的Apache Guacamole 此Docker Compose设置非常容易(仅3个cli命令)在通过Let's Encrypt保护的NGINX反向代理TLS后面运行 。 尽管此回购协议已有3年历史,但由于使用了最新的官方图片,因此至今仍然...
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1284
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
一起讨论研究Docker存在的安全问题以及如何解决
朋来客栈
03-31 504
文章目录Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗Docker存在的安全问题1、Docker 自身漏洞2、Docker 源码问题Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置 Docker 容器与虚拟机的区别 1、隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1847
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
DockerTLS 认证
最新发布
记录了,但是完全不会。
07-05 587
使用脚本快速创建TLS证书并部署到Docker服务,解决2375端口引发的安全漏洞。
DockerTLS认证
qq_27858615的博客
07-28 1417
dockerTLS认证
Docker 配置 TLS
贝克街的流浪猫
04-03 997
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
dockerTLS加密通讯
weixin_51837038的博客
04-05 93
一、Docker容器与虚拟机的区别 1、隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。 2、性能与损耗 与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的
Docker安全TLS加密通讯,图文详解!)
qq_35456705的博客
03-31 444
Docker安全 文章目录Docker安全一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化1)Docker remote api 访问控制2)限制流量流向3)镜像安全4)Docker-TLS加密通讯 一、Docker 容器与虚拟机的区别 1.隔离与共享 虚拟机
Docker--TLS加密通讯详解
weixin_47153988的博客
09-27 244
文章目录一、Docker存在的安全问题二、TLS加密通讯三、TLS安全加密配置3.1 实验环境3.2 实验操作3.3 实验测试 一、Docker存在的安全问题 1、Docker 自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。 黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。 2、Docker 源码问题 Docker 提供了 Do
Docker - 通过脚本自动创建 Docker TLS 证书
简简单单Onlinezuozuo
10-16 4670
文章目录Docker - 通过脚本自动创建 Docker TLS 证书1、具体脚本2、修改配置为自己的配置3、客户端证书下载 Docker - 通过脚本自动创建 Docker TLS 证书 1、具体脚本 通过脚本一键生成Docker TLS 的证书 #!/bin/bash # ------------------------------------------------------------...
docker 的--insecure-registry 怎么用
06-02
`--insecure-registry` 参数用于允许 Docker 客户端连接未经验证的 Docker 仓库。默认情况下,Docker 要求所有仓库都必须使用 TLS 加密来保护通信安全,这意味着必须使用有效的 SSL 证书。但是,如果您使用的是自签名证书或未完全信任的证书,那么 Docker 将无法建立连接。 使用 `--insecure-registry` 参数可以解决这个问题,它告诉 Docker 客户端连接指定的仓库时不要验证 SSL 证书,这样就可以连接到未经验证的仓库。 例如,如果您要连接到 IP 地址为 192.168.1.100 的 Docker 仓库并允许未经验证的 SSL 证书,可以使用以下命令: ``` docker run --insecure-registry=192.168.1.100:5000 your-image ``` 这样,Docker 将允许连接到指定的仓库而不验证 SSL 证书。请注意,使用未经验证的证书可能会存在安全风险,因此应谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值