Docker(十四)Docker开启远程安全访问

最新推荐文章于 2024-05-10 19:21:53 发布
最新推荐文章于 2024-05-10 19:21:53 发布
阅读量596 收藏
点赞数
分类专栏: Docker kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/107901430
版权

前言:之前配置了任何人都可以连接,被黑了,下决心要研究下docker客户端远程安全连接

一   证书的一些故事

(0)证书介绍

开发'https功能'的web server必须用到签名证书,证书都是由'证书签发机构签发',当然也可以'自己给自己签发'即自签名证书。

要签发证书,首先要'有一个根证书',然后用'根证书来签发'用户证书

(1)用户进行证书申请

一般先生成一个'私钥文件(Key)',然后用私钥生成'证书签名请求'(csr:certificate signing request),再用'证书服务器的根证书'来签发证书,生成'证书文件'(crt: certificate)。

理解: '英文单词'的含义

(2)自签名证书

一般用于'顶级证书、根证书,证书的名称'和'认证机构'的名称相同.

(3)根证书

根证书是'CA认证中心给自己颁发的证书',是'信任链的起始点',安装根证书'意味着'对这个CA认证中心的信任

交互图

二    开始配置

(1)准备工作

A客户端'CLient' :   理论上只需要安装docker客户端 'yum install docker-ce-cli -y' --> 保险 --> 'yum install docker-ce -y'

B服务端'Server' :   --> 'yum install docker-ce -y'  -->也即docker-daemon需要开启

(2)服务器开始配置

说明:以下Docker守护程序的主机上

生成CA私钥和公钥

openssl genrsa -aes256 -out ca-key.pem 4096

'不想交互--> -subj "/CN=$HOST"' --> '没有尝试'

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

注意: 执行完如上指令后,会要求我们'输入密码'才能进行下一步

核心:  Common Name (e.g. server FQDN or YOUR name) []:'$HOST' -->公网ip

补图

通过CA创建'服务器密钥和证书签名请求'(CSR)

openssl genrsa -out server-key.pem 4096

openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

注意: 以'-out'对应的文件

用CA签署公钥

由于可以通过'IP地址'和'DNS名称建立TLS连接',因此在创建证书时需要'指定IP地址' --> IP是'必须的'

echo subjectAltName = DNS:114.114.114.114,IP:$HOST,IP:127.0.0.1 >> extfile.cnf

将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

生成签名证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

注意: 'server-cert.pem'

三   客户端身份验证的配置

创建客户端密钥和证书签名请求

openssl genrsa -out key.pem 4096

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

⑦为了使密钥适合客户端身份验证,请创建一个新的扩展配置文件

 echo extendedKeyUsage = clientAuth > extfile-client.cnf

生成签名证书

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

四   扫尾工作

安全地删除两个证书签名请求扩展配置文件

chmod -v 0400 ca-key.pem key.pem server-key.pem

访问权限设置

 chmod -v 0444 ca.pem server-cert.pem cert.pem

五    服务器进行配置

(1) 修改配置文件

vim /usr/lib/systemd/system/docker.service

(2)将相应的文件移动到对应的位置

cp server-cert.pem server-key.pem ca.pem /etc/docker/

(3)重启服务

systemctl daemon-reload

systemctl restart docker

六    客户端测试

(1)复制

 将服务器/etc/docker目录下的'ca.pem、cert.pem、key.pem'三个文件复制到客户端

scp root@${REMOTE_IP}:/root/docker/{ca.pem,cert.pem,key.pem} .

(2)测试

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://${REMOTE_IP}:2375 network ls

-- 后面的 'network ls'是命令

七    总结一个交互的脚本

openssl genrsa -aes256 -out ca-key.pem 4096
# Common Name (eg, your name or your server's hostname) []:x.x.x.x
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=x.x.x.x" -sha256 -new -key server-key.pem -out server.csr
echo 'subjectAltName = DNS:114.114.114.114,IP:x.x.x.x,IP:127.0.0.1' >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
echo extendedKeyUsage = clientAuth > extfile-client.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

very good

八   简化

问题:是不是每次都要输入一场串很不方便

mkdir -pv ~/.docker

cp -v {ca,cert,key}.pem ~/.docker

--> '~/.bashrc'  <--

export DOCKER_HOST=tcp://$HOST:2376 

export DOCKER_TLS_VERIFY=1

九    curl测试

说明: 自签名一定要加一个'--insecure'参数 --> DOcker Daemon 的'API调用'

curl --insecure  https://$HOST:2376/images/json \
  --cert ~/.docker/cert.pem \
  --key ~/.docker/key.pem \
  --cacert ~/.docker/ca.pem

补充:报错

x509: cannot validate certificate for x.x.x.x because it doesn't contain any IP SANs

十  后续

IDEA集成docker

wzj_110
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker开启远程访问(ubuntu16.04)
qq_20453349的博客
08-27 880
首先编辑docker的宿主机文件/lib/systemd/system/docker.service sudo vim /lib/systemd/system/docker.service 其次修改以ExecStart开头的行:添加下图红框里的内容 然后修改后保存文件,然后通知docker服务做出的修改 sudo systemctl daemon-reload 最后需要重启docker服务 sudo service docker restart ...
Docker 4 之 Docker 客户端和守护进程
独化蓝翅鸟,越岭万昆仑
02-08 1882
学习内容整理笔记来自 极客学院的 docker 入门教程,更多信息查看 Docker 文档 四.Docker 的 C/S 模式 1.Docker 的守护进程 Docker 是以客户端和守护进程的方式来运行。这里详细的介绍 Docker C/S 模式是如何运行的。 在 Docker Client (即 Docker 客户端)当中,运行 Docker 各种命令。而这些命令会传递给 ...
Docker开启并配置远程安全访问
Young_深情不及里子的博客
04-12 4804
在工作学习中,为了提高项目部署效率,一般会在Idea中直接使用Docker插件连接服务器Docker容器,然后将项目打包与DockerFile一起build成Docker镜像部署运行。但是不可能服务器总是跟着主机的,因此呢时常会面临的一个问题就是从A端访问B端服务器上的Docker从而引发的Docker远程访问问题。因此在此总结一下Docker安全访问配置的过程,仅供学习参考!
配置开启Docker2375远程连接与解决Docker未授权访问漏洞
Sherry
11-13 4900
配置开启Docker2375远程连接与解决Docker未授权访问漏洞。
2024年Docker开启并配置远程安全访问_docker开启远程访问,从青铜到王者的路线
最新发布
2401_84281588的博客
05-10 1120
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。授权插件提供了更细粒度的控制,以补充来自双向TLS的身份验证。除了上述描述的其他信息外,在Docker守护进程上运行的授权插件还接收用于连接Docker客户端的证书信息。或者域名,都是将来对外开放的地址,也就是用于连接的地址。即可,这个文件影响到ca颁发的证书的序号,而证书序号应该是唯一的,所以这点需要控制好。注意:为了简化接下来的几个步骤,我们可以在Docker守护进程的主机上执行此步骤。但是有很多多余的配置文件,生成。
Docker安全开放远程访问连接权限
python15397的博客
07-10 4134
在执行脚本的过程中,会提示我们输入之前创建的证书和私钥的存放地址,我们必须填写正确的地址,否则会导致Docker服务无法读取证书和私钥。完全开放Docker对外访问权限有可能会遭到别人攻击,这是很不安全的,只要别人知道你的服务器地址就能够随意连接你的docker服务,而不需要任何认证,因此,完全开放只推荐自己在内网使用,不推荐在云服务器上直接完全开放。如果你的证书和私钥的存放地址是自己定义的地址,那么,你需要将 daemon.json 中的地址也相应的修改以下。三个参数即可,其他的什么都不用做。
Docker开放远程安全访问开启2376端口和CA认证)
guochengabcd的博客
08-11 1109
Docker开放远程安全访问开启2376端口和CA认证)
Docker开启远程安全访问的图文教程详解
09-29
Docker开启远程安全访问教程】 Docker 是一个流行的开源容器化平台,它允许开发者打包应用和服务,并在任何地方运行。然而,默认情况下,Docker守护进程仅监听本地接口,不允许远程访问。本教程将详细解释如何...
Docker开启远程访问的实现
09-30
主要介绍了Docker开启远程访问的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker部署mongodb并开启远程连接
01-07
docker search mongo docker pull mongo docker images | grep mongo 2. 使用 docker 安装 mongodb(创建容器并运行) docker run --name mongodb -v ~/docker/mongo:/data/db -p 27017:27017 -d mongo 执行上述...
Docker开启并配置远程安全访问_docker开启远程访问,2024年最新深入剖析原理
2401_84165919的博客
04-09 2201
total 0total 4…++…++…++…++这里需要输入密码并确认,只要两次输入一致就行,否则会像重置密码数据两次新密码一样报验证错误。如果成功,该文件下就有了pem证书文件生成:total 4根据要求依次输入访问密码、国家、省、市、组织名称、单位名称、随便一个名字、邮箱等,需要这些信息作为证书申请。
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!
Jan's的博客
01-18 2895
喜欢折腾慢慢看,不喜欢折腾直接跳到小简下文的一键脚本那里,两分钟搞好。我的博客:https://blog.ideaopen.cn我的公众号:小简聊开发一键脚本很方便,小简推荐使用这个,不折腾,我是折腾玩儿才不用脚本的。生产环境安全不容疏忽,大家公网环境可千万别粗心大意哦!Docker很多教程都只告诉你打开连接,万一有人服务器上开启连接,那就不是很好了,所以我才写一篇安全认证配置和远程连接配置一起的教程。下期再见,小简提前祝大家新春快乐哦!
docker+idea+TLS:docker开启TLS保护的安全远程连接,idea远程连接docker
szw-yunie的博客
05-25 1808
写在最前面 官网文档 关于docker如何开启远程连接,以及如何使用“内置的 HTTPS 加密套接字”来安全连接,docker官网上有非常详细的英文介绍,本文关于这部分的内容也大致上是官网文档的翻译。 参见: dockerd的命令行选项 使用TLS (HTTPS)保护Docker守护进程套接字 Docker Engine 客户端与服务端之间的通信 我们知道 Docker Engine 是一个客户端-服务器型的应用程序。dockerd作为一个守护进程在后台长时间运行(所以有时候也说是docker daem
Docker开启远程安全访问
niceyoo的博客
07-09 1868
一、编辑docker.service文件 vi /usr/lib/systemd/system/docker.service 找到 [Service] 节点,修改 ExecStart 属性,增加 -H tcp://0.0.0.0:2375 ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375 这样相当于对外开放的是 2375 端口,当然也可以根据自己情
Docker - Docker远程安全访问
kaven
12-21 1487
Docker - Docker远程安全访问 上一篇博客介绍了关于Docker远程访问的内容:Docker - Docker开启远程访问。 但直接把Docker这样对外暴露是非常危险的,就跟你服务器上的Redis对外开放(无保护暴露6379端口),还不设置密码一样。 其实官方文档已经提供基于CA证书的加密方法:Protect the Docker daemon socket。 创建CA私钥和CA公钥 首先创建一个ca文件夹用来存放密钥。 [root@izoq008ryseuupz ~]# mkdir -p c
Docker 开启远程安全访问(脚本生成配置)
cszzboy的博客
03-17 4308
如果你的服务器是公网IP,并且开放了docker远程访问,如果没有进行保护是非常危险的,任何人都可以向你的docker中推送镜像、运行实例。我曾开放过阿里云服务器中docker远程访问权限,在没有开启保护的状态下,几小时内就被植入了挖矿程序,导致CPU的占用率一直在100%,最终只能将服务器重置。
Docker 守护进程+远程连接+安全访问+启动冲突解决办法 (完整收藏版)
且炼时光
07-17 7934
本文根据官方资料实践而成,同时对于本人操作时遇到的问题加以整理总结.通过本文,你应该能够实现通过自定义证书实现对远程Docker主机的安全访问和控制.尊重劳动成果,未经本人允许不得转载. 一 Docker服务端,客户端和CA证书 二 使用OpenSSL创建CA和服务端密钥key 步骤1:生成CA私钥ca-key.pem 步骤2:使用CA私钥生成自签名CA证书ca.pem 步骤3:生成服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值