Docker-TLS加密通讯

最新推荐文章于 2022-06-21 01:13:03 发布
最新推荐文章于 2022-06-21 01:13:03 发布
阅读量124 收藏
点赞数 1
分类专栏: docker 文章标签: docker elasticsearch 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51622156/article/details/115353824
版权

文章目录

Docker-TLS加密通讯

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,c/s 两端应该通过加密方式通讯。

mkdir /tls
cd /tls

hostnamectl set-hostname master
su

vim /etc/hosts
127.0.0.1   master
//创建ca密钥
openssl genrsa -aes256 -out ca-key.pem 4096  //输入123123
//创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem  //输入123123
//创建服务器私钥
openssl genrsa -out server-key.pem 4096 
//签名私钥
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用ca证书与私钥证书签名,输入123123
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
//生成客户端密钥
openssl genrsa -out key.pem 4096
//签名客户端
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
//创建配置文件
echo extendedKeyUsage=clientAuth > extfile.cnf
//签名证书,输入123123,需要(签名客户端,ca证书,ca密钥)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
//删除多余文件
rm -rf ca.srl client.csr extfile.cnf server.csr
//配置docker
vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

//重启进程
systemctl daemon-reload
//重启docker服务
systemctl restart docker

//将 /tls/ca.pem /tls/cert.pem /tls/key.pem 三个文件复制到另一台主机
scp ca.pem root@192.168.195.129:/etc/docker/
scp cert.pem root@192.168.195.129:/etc/docker/
scp key.pem root@192.168.195.129:/etc/docker/

//本地验证
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
docker pull nginx



//client上操作
vim /etc/hosts
192.168.195.128 master

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2016 年的 8 月 Github 上大量泄露个人或企业各种账号密码,出现这种问题一般都使用 dockerfile 或者 docker-compose 文件创建容器。
如果这些文件中存在账号密码等认证信息, 一旦 Docker 容器对外开放,则这些宿主机上的敏感信息也会随之泄露。
因此可以通过以下 方式检查容器创建模板的内容。

# check created users 
grep authorized_keys $dockerfile 
# check OS users 
grep "etc/group" $dockerfile 
# Check sudo users 
grep "etc/sudoers.d" $dockerfile 
# Check ssh key pair 
grep ".ssh/.*id_rsa" $dockerfile 
# Add your checks in below
这小伙长的不孬
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Docker之TLS加密通讯详解
weixin_62453238的博客
03-15 5212
TLS安全加密配置 3.1 实验环境 两台服务器 master:192.168.179.121 client:192.168.179.122 3.2 实验操作 服务器端修改ip地址和其对应主机名的文件 服务器客户端修改ip地址和服务器端对应主机名的文件 创建ca密钥 创建ca证书 创键服务器私钥 创建签名私钥 使用ca证书与私钥证书签名 生成客户端密钥 签名客户端 创建配置文件 签名证书,需要(签名客户端,ca证书,ca密钥) ...
Docker开启安全的TLS远程连接
qq_36284689的博客
06-18 462
目录1.1 不安全的远程访问方式1.1.1 编辑docker.service文件:1.1.2 重新加载Docker配置生效1.1.3 警告!2.1 建立基于TLS数字签名的安全连接1.1 不安全的远程访问方式 1.1.1 编辑docker.service文件: vi /usr/lib/systemd/system/docker.service 找到 [Service] 节点,修改 ExecSta...
python关于SSL/TLS认证的实现
热门推荐
vip97yigang的专栏
12-02 6万+
最近有个客户端的需求是和服务端建立安全的链路,需要用ssl双向认证的方式实现。刚开始的时候被各种证书认证搞得晕乎乎-_-,花了好长时间才理清思路实现需求,所以写下这篇文章记录分享。接下来先介绍下啥是SSL。 参考 https://blog.csdn.net/wuliganggang/article/details/78428866 https://blog.csdn.net/duanbokan/a...
SSL/TLS(3): CA证书解释
猪哥的专栏
03-28 2075
SSL/TLS(1):基本概念通俗解释 SSL/TLS (2):通俗解释SSL/TLS为什么安全 前言 在前面的文章中,我们分析了SSL/TLS的一些基本概念和为什么他们安全,尤其提到了公钥和私钥的概念,还有一个很重要的文件,就是CA证书,关于CA证书的官方解释,可以参考百科的解释,这里我们可以简单的认为,CA证书是一个网站的 二维码,这个二维码包括了服务器的一些信息,比如服务器所在的组织、支持的加密算法,还有更重要的公钥信息。 X.509 我们在使用mbedtls时,会发现有X.509的名称,在其他地方也
关于docker安全之Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
docker-compose安装elasticsearch集群.docx
06-19
在实际环境中,根据需求调整节点数量,以及考虑安全设置,如启用X-Pack安全功能,添加SSL/TLS加密等。 总结,本文介绍了使用`docker-compose`安装Elasticsearch集群的方法,以及配置文件的关键设置,帮助读者理解...
docker-websvn:用于 Subversion 存储库的 Websvn UI
06-25
如果您希望它位于不同的路径下或使用 TLS/SSL 加密,那么前端代理可以提供该功能。 此外,您可以设置环境变量 SVN_UID 和 SVN_GID 来控制将访问存档(和 htpasswd)的用户和组。 您可以通过将其放置在 /svn/websvn....
使用TLS加密通讯远程连接Docker的示例详解
01-20
如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。 在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下,它仅连接到...
TLS1.2 TLS1.3握手协议区别和问题排查
Fred Lee的程序人生
05-22 7297
修复internet用户和站点所有者的SSL/TLS握手失败错误 现在是发表另一篇技术文章的时候了,今天我们将讨论SSL/TLS握手失败错误及其修复方法。与许多SSL错误消息一样,这可以从客户端和服务器端触发,因此有时可以由普通互联网用户修复,而其他时候则表明网站存在配置问题。 不管它的起源如何,这都可能是一个令人沮丧的SSL错误,因为它阻止您与试图访问的网站建立安全连接。 我们将了解SSL/TLS握手是什么,然后我们将介绍SSL/TLS握手失败错误的原因以及您可以做些什么来修复它。 让我们好好想想
如何解决 HostnameVerifier 不安全的问题?
小洋人最happy的专栏
10-31 3万+
问题引入 App提交Google Play时,审核被拒,打回,信息如下: 本文面向的是在应用中采用不安全的 HostnameVerifier 接口实施方式的开发者。在与使用 [setDefaultHostnameVerifier](https://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HttpsURLConnection.html#set...
docker之TLS加密通讯
weixin_51837038的博客
04-05 95
一、Docker容器与虚拟机的区别 1、隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。 2、性能与损耗 与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的
TLS协议中的握手协议
zhbgreat的博客
02-21 4205
TLS 握手协议(handshake protocol) 握手是TLS协议中最精密复杂的部分。在这个过程中,通信双方协商连接参数(沟通双方各有什么加密算法,选择一个最合适的算法),并且完成身份验证。根据使用的功能的不同,整个过程通常需要交换6~10次信息。根据配置和支持的协议扩展的不同,交换过程可能有许多变种。在使用中经常可以观察到以下三种流程: (一) 完整的握手,对服务器进行身份验证; ...
TLS 与HTTPS
李泽文的博客
03-29 1万+
1 概述TLS 是进行 HTTPS 连接的重要环节,通过了 TLS 层进行协商,后续的 HTTP 请求就可以使用协商好的对称密钥进行加密SSL 是 Netscape 开发的专门用来保护 Web 通讯,目前版本为 3.0。TLS 是 IETF 制定的新协议,建立在 SSL 3.0 之上。所以 TLS 1.0 可以认为是 SSL 3.1TLS(Transport Layer Security Prot...
TLS使用指南(一):如何在Rancher 2.x中进行TLS termination?
rizon886的博客
02-11 355
引 言 这是一个系列文章,我们将在本系列中探索Rancher使用TLS证书的不同方式。TLS,安全传输层协议,是用于保护网络通信的加密协议。它是目前已经弃用的安全套接层(SSL)的继任者。 你可以从本系列中了解TLS如何集成到各种Rancher组件中以及如何准备环境以正确利用Rancher中的TLS。 为什么安全传输层协议(TLS)很重要? Rancher在任何地方都可以使用TLS。因此,在安装Rancher之前,确定TLS终止选项十分重要。 1、 确认你想要执行的TLS终止类型,有以下几种类型:...
docker开启TLS远程连接
mxrain的博客
06-21 471
最近在研究cicd jenkins 需要连接阿里云服务器的docker 2375端口, 这里用TLS方式连接docker服务 一、制作证书(docker服务的机器) 建立证书存放位置 创建CA证书私钥 创建服务端私钥 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1860
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker安全配置及Docker-TLS加密
kele_baba
08-05 1619
Docker安全配置一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制4、镜像安全5、Docker-TLS加密通讯
docker -p 和nginx
最新发布
07-15
使用 Nginx,你可以将多个后端服务进行负载均衡,并且能够提供静态文件服务、SSL/TLS 加密等功能。通过结合 Docker 和 Nginx,你可以将 Nginx 部署到容器中,并通过端口映射将主机上的请求转发到 Nginx 容器内部。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值