【备忘录】Docker 2375远程端口安全漏洞解决

最近为了项目需要,把docker 的远程端口2375 给开放了。不出意外出意外了。没多久,网站报流量告警,第一反应就是开放2375这个端口问题导致,毫不迟疑直接切换服务器。关闭该台服务器的docker服务,并逐步清理掉挖矿进程,过程之艰辛就不想再提起。业务原因又不得不要开放该端口,下面备忘一下修复该漏洞的过程。

Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了。要想修复该漏洞,其实主要就准备几个证书的事。

第一步,准备证书

主要是5个证书和秘钥文件,分别是ca.pem、server-cert.pem、server-key.pem、client-cert.pem和client-key.pem。其中,server-cert.pem中限制了能够访问Docker主机的客户端列表。

1.生成CA私钥ca-key.pem,使用该私钥对CA证书签名。(ca-key.pem是一个临时文件,最后可以删除。)

[root@web-dev01 dockerauth]# openssl genrsa -out ~/dockerauth/ca-key.pem 4096

2.使用CA私钥生成自签名CA证书ca.pem。生成证书时,通过-days 365设置证书的有效期。单位为天,默认情况下为30天。

[root@web-dev01 dockerauth]# openssl req -x509 -sha256 -batch -subj '/C=CN/ST=chongqing/L=Chongqing/O=qinghub/OU=Laboratory/CN=www.qinghub.net' -new -days 3650 -key ~/dockerauth/ca-key.pem -out ~/dockerauth/ca.pem
[root@web-dev01 dockerauth]# ll
总用量 8
-rw------- 1 root root 3243 326 15:29 ca-key.pem
-rw-r--r-- 1 root root 2074 326 15:32 ca.pem
[root@web-dev01 dockerauth]# 

注意:

C表示国家,中国为CN。
ST表示省,比如Sichuan。
L表示城市,比如Chengdu。
O表示公司,比如Ghostcloud Co.,Ltd。
OU表示部门名字,比如Laboratory。
CN表示公司域名,比如www.ghostcloud.cn

3.生成服务器私钥server-key.pem和server-csr.pem。CN为DockerDaemon。

[root@web-dev01 dockerauth]# openssl req -x509 -sha256 -batch -subj '/C=CN/ST=Chongqing/L=Chongqing/O=qinghub/OU=Laboratory/CN=www.qinghub.net' -new -days 3650 -key ~/dockerauth/ca-key.pem -out ~/dockerauth/ca.pem
[root@web-dev01 dockerauth]# openssl genrsa -out ~/dockerauth/server-key.pem 4096
Generating RSA private key, 4096 bit long modulus (2 primes)
..........................++++
............................................................................................++++
e is 65537 (0x010001)
[root@web-dev01 dockerauth]# openssl req -subj '/CN=DockerDaemon' -sha256 -new -key ~/dockerauth/server-key.pem -out ~/dockerauth/server-csr.pem
[root@web-dev01 dockerauth]# ll
总用量 20
-rw------- 1 root root 3243 326 15:29 ca-key.pem
-rw-r--r-- 1 root root 2074 326 15:38 ca.pem
-rw-r--r-- 1 root root 1590 326 15:45 server-csr.pem
-rw------- 1 root root 3247 326 15:38 server-key.pem

4.使用CA证书生成服务器证书server-cert.pem。TLS连接时,需要限制客户端的IP列表或者域名列表。只有在列表中的客户端才能通过客户端证书访问Docker Daemon。如果添加0.0.0.0,则所有客户端都可以通过证书访问Docker Daemon。

首先生成allow.list

[root@web-dev01 dockerauth]# echo subjectAltName = IP:127.0.0.1,IP:10.0.0.21,IP:10.0.0.22,IP:10.0.0.54 > ~/dockerauth/allow.list
[root@web-dev01 dockerauth]# ll
总用量 16
-rw-r--r-- 1 root root   69 326 15:41 allow.list

再通过allow.list生成server-cert.pem

[root@web-dev01 dockerauth]# openssl x509 -req -days 365 -sha256 -in ~/dockerauth/server-csr.pem -CA ~/dockerauth/ca.pem -CAkey ~/dockerauth/ca-key.pem -CAcreateserial -out ~/dockerauth/server-cert.pem -extfile ~/dockerauth/allow.list
Signature ok
subject=CN = DockerDaemon
Getting CA Private Key
[root@web-dev01 dockerauth]# ll

5.生成客户端私钥client-key.pem和client-csr.pem。CN为DockerClient。

client-csr.pem是一个临时文件,生成client-cert.pem以后,可以删除。

[root@web-dev01 dockerauth]# openssl genrsa -out ~/dockerauth/client-key.pem 4096
Generating RSA private key, 4096 bit long modulus (2 primes)
.........++++
...........................................++++
e is 65537 (0x010001)
[root@web-dev01 dockerauth]# openssl req -subj '/CN=DockerClient' -new -key ~/dockerauth/client-key.pem -out ~/dockerauth/client-csr.pem
[root@web-dev01 dockerauth]# ll
总用量 36
-rw-r--r-- 1 root root   69 326 15:41 allow.list
-rw------- 1 root root 3243 326 15:29 ca-key.pem
-rw-r--r-- 1 root root 2074 326 15:38 ca.pem
-rw-r--r-- 1 root root   41 326 15:45 ca.srl
-rw-r--r-- 1 root root 1590 326 15:47 client-csr.pem
-rw------- 1 root root 3247 326 15:47 client-key.pem
-rw-r--r-- 1 root root 1883 326 15:45 server-cert.pem
-rw-r--r-- 1 root root 1590 326 15:45 server-csr.pem
-rw------- 1 root root 3247 326 15:38 server-key.pem

6.使用CA证书生成客户端证书client-cert.pem。需要加入extendedKeyUsage选项。

[root@web-dev01 dockerauth]# echo extendedKeyUsage = clientAuth > ~/dockerauth/options.list
[root@web-dev01 dockerauth]# openssl x509 -req -days 3650 -sha256 -in ~/dockerauth/client-csr.pem -CA ~/dockerauth/ca.pem -CAkey ~/dockerauth/ca-key.pem -CAcreateserial -out ~/dockerauth/client-cert.pem -extfile ~/dockerauth/options.list
Signature ok
subject=CN = DockerClient
Getting CA Private Key
[root@web-dev01 dockerauth]#

7.成功生成了需要的证书和秘钥,可以删除临时文件。并修改密钥访问权限

所有生成得文件如下:

[root@web-dev01 dockerauth]# ll
总用量 44
-rw-r--r-- 1 root root   69 326 15:41 allow.list
-rw------- 1 root root 3243 326 15:29 ca-key.pem
-rw-r--r-- 1 root root 2074 326 15:38 ca.pem
-rw-r--r-- 1 root root   41 326 16:01 ca.srl
-rw-r--r-- 1 root root 1862 326 16:01 client-cert.pem
-rw-r--r-- 1 root root 1590 326 15:47 client-csr.pem
-rw------- 1 root root 3247 326 15:47 client-key.pem
-rw-r--r-- 1 root root   30 326 16:01 options.list
-rw-r--r-- 1 root root 1883 326 15:45 server-cert.pem
-rw-r--r-- 1 root root 1590 326 15:45 server-csr.pem
-rw------- 1 root root 3247 326 15:38 server-key.pem
[root@web-dev01 dockerauth]# 
[root@web-dev01 dockerauth]# 

删除并修改权限

[root@web-dev01 dockerauth]# rm -f ~/dockerauth/server-csr.pem ~/dockerauth/client-csr.pem ~/dockerauth/allow.list ~/dockerauth/options.list
[root@web-dev01 dockerauth]# 
[root@web-dev01 dockerauth]# chmod 0444 ~/dockerauth/ca.pem ~/dockerauth/server-cert.pem ~/dockerauth/client-cert.pem
[root@web-dev01 dockerauth]# chmod 0400 ~/dockerauth/ca-key.pem ~/dockerauth/server-key.pem ~/dockerauth/client-key.pem
[root@web-dev01 dockerauth]# ll
总用量 28
-r-------- 1 root root 3243 326 15:29 ca-key.pem
-r--r--r-- 1 root root 2074 326 15:38 ca.pem
-rw-r--r-- 1 root root   41 326 16:01 ca.srl
-r--r--r-- 1 root root 1862 326 16:01 client-cert.pem
-r-------- 1 root root 3247 326 15:47 client-key.pem
-r--r--r-- 1 root root 1883 326 15:45 server-cert.pem
-r-------- 1 root root 3247 326 15:38 server-key.pem
[root@web-dev01 dockerauth]# 

第二步,修改启动配置。

启动Docker Deamon时,需要设置-H、–tls、–tlscacert=ca.pem、–tlscert=server-cert.pem和–tlskey=server-key.pem。此时,只有客户端列表中的主机能够访问Docker主机。

1、重启Docker Daemon,加入ca.pem、server-cert.pem和server-key.pem。-H=0.0.0.0:2376表示Docker Daemon监听在2376端口。

修改docker 启动服务配置
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/dockerauth/ca.pem --tlscert=/root/dockerauth/server-cert.pem --tlskey=/root/dockerauth/server-key.pem -H=0.0.0.0:2376 -H fd:// --containerd=/run/containerd/containerd.sock

[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service containerd.service
Wants=network-online.target
Requires=docker.socket containerd.service[Service]
Type=notify
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/dockerauth/ca.pem --tlscert=/root/dockerauth/server-cert.pem --tlskey=/root/dockerauth/server-key.pem -H=0.0.0.0:2376 -H fd:// --containerd=/run/containerd/containerd.sock
ExecReload=/bin/kill -s HUP 
TimeoutSec=0
RestartSec=2
Restart=always
StartLimitBurst=3
StartLimitInterval=60s
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity
Delegate=yes
KillMode=process
OOMScoreAdjust=-500[Install]
WantedBy=multi-user.target

2.在客户端,运行docker命令时,加入ca.pem、client-cert.pem和client-key.pem。本例中,只有127.0.0.1和10.0.0.22,10.0.0.21的客户端可以访问Docker Daemon。

[root@web-dev01 dockerauth]# docker --tlsverify --tlscacert=/root/dockerauth/ca.pem --tlscert=/root/dockerauth/client-cert.pem --tlskey=/root/dockerauth/client-key.pem -H=tcp://10.0.0.22:2376 info
Client:Version:    24.0.5Context:    defaultDebug Mode: falseServer:Containers: 8Running: 8Paused: 0

看到如上示例中得信息,说明已经配置成功。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/784506.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

存放自定义数据类型的大/小根堆定义

要将小于&#xff08;<&#xff09;运算符重载函数改为适用于小根堆&#xff08;即最小堆&#xff09;&#xff0c;您需要确保当传入对象的值小于当前对象的值时&#xff0c;函数返回true。这样&#xff0c;当您构建堆时&#xff0c;具有较小值的节点会被放置在较高的层次&a…

从0到1手把手撸码搭建后台管理系统

从0到1手把手撸码搭建后台管理系统 第一章:系统介绍开发目的与过程 要使用 Vue3 搭建后台&#xff0c;你可以按照以下步骤进行&#xff1a; 安装 Vue3&#xff1a;使用包管理工具&#xff08;如 npm 或 yarn&#xff09;安装 Vue3。选择构建工具&#xff1a;选择一个适合的构…

课时81:流程控制_循环控制_continue实践

1.4.3 continue实践 学习目标 这一节&#xff0c;我们从 基础知识、简单实践、小结 三个方面来学习。 基础知识 简介 continue命令是在处理过程中跳出循环的一种简单方法。可以使用continue命令跳出当前的循环直接进入到下一个循环&#xff0c;包括for、while、until等。co…

Day35:学习尚上优选项目

学习计划&#xff1a;完成尚硅谷的尚上优选项目 学习进度&#xff1a;尚上优选项目 知识点&#xff1a; 四、 搭建平台管理端前端环境 权限管理模块-用户管理 开发为用户分配角色接口用户管理前端测试 权限管理模块-菜单管理 菜单管理需求菜单表设计开发菜单管理CRUD接口开…

给web开发零基础小白的简明入门教程

1.网页三大件&#xff1a;HTML、CSS、JS HTML&#xff08;HyperText Markup Language超文本标记语言&#xff09;&#xff1a;构成网页的结构&#xff0c;结构由元素&#xff08;标签&#xff09;组成。 CSS&#xff08;Cascading Style Sheets层叠样式表&#xff09;&#xf…

选择排序及其优化

目录 思想&#xff1a; 代码&#xff1a; 代码优化&#xff1a; 需要注意的特殊情况&#xff1a; 可能出现的所有特殊情况&#xff1a; 优化完成代码&#xff1a; 思想&#xff1a; 每一次遍历数组&#xff0c;选择出最大或最小的数&#xff0c;将其与数组末尾或首位进行…

springboot下

springboot 常用注解介绍 按需开启自动配置项特征介绍 自动配置原理 静态资源配置原理解析 rest风格请求映射 自定义入参的converter实现 springbootApplication启动流程 启动类 一些操作的赋值 启动器类型赋值 用加载器加载接口的实现类 刷新上下文

npm镜像源证书过期问题解决

title: npm镜像源证书过期 search: 2024-02-29 文章目录 Failed to check for updates 问题ERR_PNPM_NO_PKG_MANIFESTnpm缓存清除指令权限不足导致删除不了解决方案npm创建基础配资文件 Failed to check for updates 问题 错误描述如上 检查完 node,vue,npm 的版本后都没啥问…

css3之3D转换transform

css3之3D转换 一.特点二.坐标系三.3D移动&#xff08;translate3d)1.概念2.透视&#xff08;perpective)(近大远小&#xff09;&#xff08;写在父盒子上&#xff09; 四.3D旋转&#xff08;rotate3d)1.概念2.左手准则3.呈现&#xff08;transfrom-style)&#xff08;写父级盒子…

kali linux 解决无线驱动程序问题

Troubleshooting wireless driver issues in Linux can be a frustrating experience if you don’t know what to look for。 This article is meant to be used as a general guideline to better help you find the information you need to solve your wireless issues。 C…

python中的int函数和java中的Integer.parseInt方法

将字符串转换为整数 print(int(‘123’)) # 输出: 123 将浮点数向下取整为整数 print(int(3.14)) # 输出: 3 将布尔值转换为整数 print(int(True)) # 输出: 1 print(int(False)) # 输出: 0 使用指定的进制转换字符串为整数 print(int(‘1010’, 2)) # 输出: 10&#xff…

常见的ADB命令,涵盖了连接设备、安装应用、文件操作、日志调试、应用管理等多个方面

理解了&#xff0c;以下是一个更广泛的ADB命令列表&#xff0c;包括各种应用场景&#xff1a; ### 连接设备和管理连接&#xff1a; 1. adb devices&#xff1a;列出已连接的设备。 2. adb connect <设备IP>&#xff1a;连接到指定IP地址的设备。 3. adb disconnect <…

价值1万元的定制版跑分源码 微信支付宝跑分源码,微信支付宝跑分源码

价值1万元的定制版跑分源码 微信支付宝跑分源码&#xff0c;微信支付宝跑分源码|开代理|自动抢单接单。 此类“跑分”操作究竟是如何运作的呢?以一项“为游戏平台提供微信充值接口”的项目说明来举例:用户成功注册并进一步完善用户信息后&#xff0c;就可以抢单&#xff0c;抢…

ESP8266

一、简介 ESP8266:芯片 ESP8266-NodeMCU:方便对ESP8266芯片操作。 模块内嵌TCP/IP协议栈&#xff0c;可以实现串口、WIFI之间的数据转换传输。 产品特性 支持无线802.11b/g/n三种标准 支持STA/APSTAAP三种工作模式 支持TCP/IP协议栈&#xff0c;支持多路TCP Client连接 内置…

阿里云优惠券一键领取入口分享

阿里云作为国内领先的云计算服务提供商&#xff0c;以其稳定、高效的服务赢得了广大用户的信赖。为了吸引更多用户上云&#xff0c;阿里云经常推出各种优惠活动&#xff0c;其中就包括阿里云优惠券。本文将为大家分享阿里云优惠券一键领取入口&#xff0c;帮助大家快速获取优惠…

【ONE·基础算法 || 链表】

总言 主要内容&#xff1a;编程题举例&#xff0c;熟悉理解单链表类题型。       文章目录 总言1、链表2、两数相加&#xff08;medium&#xff09;2.1、题解 3、两两交换链表中的节点&#xff08;medium&#xff09;3.1、题解 4、重排链表&#xff08;medium&#xff09;4…

并联机器人建模【1】-Delta机器人简介与工作空间分析

并联机器人建模【1】 1. 简介1.1 Delta机器人的结构特点1.2 发展历史2. 工作空间分析3. 运动学正解4. 运动学逆解参考资料引言: Delta机器人(图4)有三组平行的手臂和旋转式或线性驱动器。当对驱动器施加作用力时,末端执行器会在x、y和z轴上移动但是不会出现旋转。Delta机器人…

快讯!TiDB v8 发版!超硬核 v8 引擎!

TiDB 是 PingCAP 公司自主设计、研发的开源分布式关系型数据库&#xff0c;是一款同时支持在线事务处理与在线分析处理 (Hybrid Transactional and Analytical Processing, HTAP) 的融合型分布式数据库产品。 具备水平扩容或者缩容、金融级高可用、实时 HTAP、云原生的分布式数…

JVM堆栈详解

一、堆 存储对象 二、栈 存储方法内的参数值&#xff0c;局部变量 三、方法区 存储 1、每个类的信息&#xff08;包括类的名称、方法信息、字段信息&#xff09; 2、静态变量 3、常量以及编译器编译后的代码等。 虽然JVM规范把方法区描述为堆的一个逻辑部分&#xff0…

使用canvas内置api完成图片的缩放平移和导出和添加提示

最近挺忙的&#xff0c;几乎没有时间去更新博客&#xff0c;今天正好在学习新东西&#xff0c;正好和大家分享一下。 最近要做一个使用canvas完成图片平移&#xff0c;缩放&#xff0c;添加标注的需求&#xff0c;完成的效果大概如下&#xff1a; 使用canvas内置api完成图片的缩…