Docker远程访问控制的安全问题(Docker remote api 访问控制)以及Docker-TLS加密通讯 操作测试

最新推荐文章于 2025-09-30 16:47:08 发布
原创 最新推荐文章于 2025-09-30 16:47:08 发布 · 2.5k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #tls

本文介绍如何配置Docker以实现安全的远程API访问,并通过TLS加密确保通信安全,包括设置访问控制及证书生成步骤。

文章目录

环境:

名字 ip
master 20.0.0.100
client 20.0.0.101

Docker remote api 访问控制

Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问。

监听内网 ip,docker daemon 启动方式如下。

docker -d -H uninx:///var/run/docker.sock -H tcp://主机ip地址:端口号

或者
master服务端开放本地监听地址和端口

服务端开放本地监听地址和端口

vim /usr/lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://主机ip地址:端口号

然后,在服务端的 firewalld 上做 IP 访问控制即可。(source address 是客户端地址)

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="客户端ip" port protocol="tcp" port="2375" accept"

firewall-cmd --reload '重载'

或者
关闭防火墙

[root@master ~]# systemctl stop firewalld
[root@master ~]# setenforce 0

vim /usr/lib/systemd/system/docker.service
添加
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://20.0.0.100:2375   
systemctl daemon-reload 守护进程
systemctl restart docker
netstat -ntap | grep 2375
tcp        0      0 20.0.0.100:2375          0.0.0.0:*               LISTEN      69634/dockerd  

docker pull nginx '下载镜像测试'

客户端操作实现远程调用

客户机查看master的镜像

docker -H tcp://20.0.0.10 images

master服务器启动nginx 测试查看

docker run -itd nginx:latest /bin/bash '在服务端运行容器'

docker -H tcp://20.0.0.100 ps -a  '客户端远程查看'

Docker-TLS加密通讯

主要作用为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,c/s 两端应该通过加密方式通讯。

加密通信:

1.密钥
最低0.47元/天 解锁文章
Docker——docker安全Docker remote api 访问控制TLS加密通讯
ML908的博客
04-28 2876
文章目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、 Docker 源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、 DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器...
Docker容器间通信的安全问题——TLS加密通信
xwy9526的博客
12-03 728
1.隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响, 容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。 2.性能与损耗 与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好, 要从虚拟机攻
DockerDocker Remote API 访问控制
01-09
Docker Remote API 访问控制 Docker远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问,监听内网 ip,docker daemon 启动方式如下: [root@localhost ~]# vim /usr/lib/systemd/system/docker.service ##更改插入如下内容 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock ExecStart=/usr/bin/dockerd -H unix:/
17、深入探索 Docker API:使用、管理与安全认证
最新发布
rgv23456789的博客
09-30 29
本文深入探讨了Docker Engine API的使用、管理和安全认证机制。从基础的本地和远程API连接配置,到通过curl命令管理镜像与容器,再到改进TProv应用以使用API客户端库,全面展示了Docker API的核心功能。重点介绍了如何通过TLS/SSL证书实现安全的身份验证,包括创建CA、生成服务器与客户端证书、配置Docker守护进程和客户端的完整流程,确保API通信的安全性。同时提供了详细的命令示例、流程图和总结表格,帮助用户高效、安全地管理Docker环境。
Docker入门教程(八)Docker Remote API
dengximo9047的博客
03-08 458
Docker入门教程(八)Docker Remote API 【编者的话】DockerOne组织翻译了Flux7的Docker入门教程,本文是系列入门教程的第八篇,重点介绍了Docker Remote API。在Docker系列教程的上一篇文章中,我们学习了Docker Hub 以及 Docker Registry API。在本文中,让我们来看看Docker Remote ...
docker开放2375端口,并添加安全传输层协议(TLS)和CA认证
热门推荐
honvin的博客
08-17 1万+
为了更便捷地打包和部署,服务器需要开放2375端口才能连接docker,但如果开放了端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,任何知道你IP的人,都可以管理这台主机上的容器和镜像,真的可怕。 为了解决安全问题,只要使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 我们需要使用OpenSSL制作CA机构证书、服务端证书和客户端证书,以下操作均在安装Docker的Linux服务器上进行。 创建一个目录用于存储生成的证书和秘钥 mkdir
Docker开启远程安全访问的图文教程详解
09-29
### 安全考虑:配置Docker远程访问安全措施 **警告:** 不推荐在生产环境中直接使用上述步骤,因为它将Docker API暴露在互联网上,存在严重的安全风险。正确的做法是启用基于证书的TLS加密。 #### 1. 创建CA...
Docker系列:docker开启远程加密访问,并使用Portainer远程管理
落叶
07-23 616
现在 Docker 作为一种轻量级的容器化技术,已经被广泛应用于开发、测试和生产环境。为了更方便地管理 Docker 容器,有时候我们需要远程访问 Docker 守护进程,例如:Portainer 远程管理容器的时候。但是,远程访问会带来安全风险,因此开启加密远程访问显得尤为重要。本篇博客将详细介绍如何开启 Docker 加密远程访问,并且使用 Portainer 远程连接 Docker
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证_docker远程接口未授权访问漏洞怎么解决
2401_84968016的博客
05-12 1352
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Docker Remote api安全中的应用杂谈
大方子
10-02 2020
注:本文为“小米安全中心”原创,作者: netxfly  ,转载请联系“小米安全中心” 概述 众所周知,Docker daemon默认是监听在unix socket上的,如unix:///var/run/docker.sock。 官方还提供一个Rustful api接口,允许通过TCP远程访问Docker,例如执行以下启动参数可以让docker监听在本地所有地址的2375端口上: doc...
docker remote api安全隐患
weixin_30730053的博客
07-27 274
开启dockerapi,首先要知道docker的守护进程daemon,在下认为daemon作为Client和service连接的一个桥梁,负责代替将client的请求传递给service端。 默认情况daemon只由root控制,但我们可以通过-H绑定到端口上,这样通过端口访问的方式执行命令。 我用的是Ubuntu17的虚拟机+docker17.03.0-ce,网上介绍两种方法 ...
docker 开启 remote api
weixin_34404393的博客
11-22 281
编辑 /usr/lib/systemd/system/docker.service 修改ExecStart 添加-H tcp://192.168.152.193:2376 修改后为: ExecStart=/usr/bin/docker daemon -H tcp://192.168.152.193:2376 -H fd:// 关闭防火墙 访问 ...
Docker Remote API未授权访问漏洞以及安全防护
qq_46487664的博客
07-26 1034
设备IP地址操作类型docker版本镜像训练机centos718.03.1-ce靶机Ubuntu24.0.4至少一个容器镜像。
docker远程连接安全问题
xiaobaia_1的博客
09-05 1080
docker远程连接
安全攻防(八)之 Docker Remote API 未授权访问逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-09 2606
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API,其默认绑定2375端口,如管理员对其配置不当可导致未授权访问漏洞。攻击者利用 docker client 或者 http 直接请求就可以访问这个 API,可导致敏感信息泄露,甚至可进一步利用Docker自身特性,借助容器逃逸,最终完全控制宿主服务器Docker daemon 是 Docker 引擎的后台进程,也称为 Dockerd。
Docker API(Registry APIDocker Hub APIDocker Remote API
董哥的黑板报
07-28 4513
一、Docker API简介 在Docker生态系统中一共有3种API: Registry API:提供了与来存储Docker镜像的Docker Registry继承的功能 Docker Hub API:提供了与Docker Hub继承的功能 Docker Remote API:提供与Docker守护进程集成的功能 这3种API都是RESTful风格的 本文我们主要介绍Remote API,因为它是通过程序与Docker进行继承和交互的核心内容 二、初识Remote API Remo
docker 开启Remote API 访问 2375端口
TH_NUM的博客
08-23 947
常见docker端口包括:2375:未加密docker socket,远程root无密码访问主机2376:tls加密套接字,很可能这是您的CI服务器4243端口作为https 443端口的修改2377:群集模式套接字,适用于群集管理器,不适用于docker客户端5000:docker注册服务4789和7946:覆盖网络。
Docker 火了:主机外可直接访问映射到 127.0.0.1 的服务
云原生实验室
06-25 2313
这两天 Hacker News 上面有一个贴子[1]火了,这是一封发给 Docker 安全团队的邮件,主要讲的是 Docker 有一个非常离谱的安全隐患。即使你通过像 -p 127.0.0.1:80:80 这样的参数将端口暴露到回环地址,外部仍然可以访问该服务,怎么回事呢?原因其实很简单,Docker 添加了这样一条 Iptables 规则:????→iptables-...
TLS通信过程
weixin_30955617的博客
01-13 449
TLS通信过程 握手与密钥协商过程 基于RSA握手和密钥交换的客户端验证服务器为示例详解TLS/SSL握手过程 sequenceDiagram client->>server: client_hello server->>client: server_hello client->>client: 证书校验 client->>server...
Docker安全增强:资源限制与访问控制
Docker远程API访问控制方面,确保只有授权的客户端才能与Docker守护进程通信至关重要。可以通过设置访问控制策略、使用安全传输层协议(TLS)以及限制网络流量来加强这方面的防护。此外,定期检查和更新Docker...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值