【Docker 2375端口安全问题】生成证书解决Docker 2375的端口问题

【Docker 2375端口安全问题】生成证书解决Docker 2375的端口问题本文详细介绍了如何在使用 Docker 远程管理 IDEA 时 为防止木马入侵 通过配置 TLS 和生成 CA 证书 服务器和服务端证书 确保 2375 端口的安全

大家好,欢迎来到IT知识分享网。

描述

当我们使用Docker 远程管理,比如IDEA 的Docker连接,通常会使用docker Daemon开启2375 端口来方便远程执行发送到管理端口上的Docker命令
IDEA 使用Docker链接
但是我服务器开通端口后总是莫名其妙的收到木马入侵提醒。去网上搜索时发现确实有这种问题存在

操作描述

开放 2375

  1. 编辑守护线程的配置文件
    vim /usr/lib/systemd/system/docker.service 
  2. 找到ExecStart并 修改
    ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock 
  3. 重启docker 和守护线程
    systemctl daemon-reload & systemctl restart docker 
  4. 防火墙开通端口
    不必多说,自己检查
  5. 调试一下

生成证书及秘钥 防止入侵

以上做法就会开通一个所有IP 都可以访问的2375端口,就会引起入侵问题。
如果你的IP 固定,你可以在配置文件上进行设置,或者针对防火墙进行设置。
以下整理网上的教程,生成 证书。

  1. 创建一个目录用于存储生成的证书和秘钥
    systemctl daemon-reload & systemctl restart docker 
  2. 使用openssl创建CA证书私钥,期间需要输入两次密码,生成文件为ca-key.pem
    openssl genrsa -aes256 -out ca-key.pem 4096 
  3. 根据私钥创建CA证书,期间需要输入上一步设置的私钥密码,然后依次输入国家是 CN,省例如是Guangdong、市Guangzhou、组织名称、组织单位、姓名或服务器名、邮件地址,都可以随意填写,生成文件为ca.pem(注意证书有效期)
    openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 
  4. 创建服务端私钥,生成文件为server-key.pem
    openssl genrsa -out server-key.pem 4096 
  5. 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr
    openssl req -subj "/CN=Your server IP" -sha256 -new -key server-key.pem -out server.csr 
  6. 配置白名单,用多个用逗号隔开,例如: IP:192.168.0.1,IP:0.0.0.0
    echo subjectAltName = IP:Your server IP,IP:0.0.0.0 >> extfile.cnf 
  7. 将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证
    echo extendedKeyUsage = serverAuth >> extfile.cnf 
  8. 创建CA证书签名好的服务端证书,期间需要输入CA证书私钥密码,生成文件为server-cert.pem
    openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf 
  9. 创建客户端私钥,生成文件为key.pem
    openssl genrsa -out key.pem 4096 
  10. 创建客户端证书签名请求文件,用于CA证书给客户证书签名,生成文件client.csr
    openssl req -subj '/CN=client' -new -key key.pem -out client.csr 
  11. 要使密钥适合客户端身份验证,请创建扩展配置文件
    echo extendedKeyUsage = clientAuth >> extfile.cnf 
  12. 创建CA证书签名好的客户端证书,期间需要输入CA证书私钥密码,生成文件为cert.pem
    openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf 
  13. 删除不需要的文件,两个证书签名请求
    rm -v client.csr server.csr 
  14. 修改证书为只读权限保证证书安全
    chmod -v 0400 ca-key.pem key.pem server-key.pem chmod -v 0444 ca.pem server-cert.pem cert.pem 
  15. 将服务器证书复制到其他文件夹
    cp server-*.pem /etc/docker/ && cp ca.pem /etc/docker/ 

最终生成文件如下,有了它们我们就可以进行基于TLS的安全访问了

ca.pem CA证书 ca-key.pem CA证书私钥 server-cert.pem 服务端证书 server-key.pem 服务端证书私钥 cert.pem 客户端证书 key.pem 客户端证书私钥 

修改配置文件和重启

vim /usr/lib/systemd/system/docker.service # 修改配置文件 ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock 
systemctl daemon-reload && systemctl restart docker 

保存证书文件 并使用

将IDEA 链接地址改为 HTTPS (不是tcp了)
然后将证书文件夹地址设置上
在这里插入图片描述

测试

  1. 做一个简单的Helloworld 的SpringBoot 程序
    在这里插入图片描述
  2. 做一个Docker File 文件
    FROM moxm/java:1.8-full RUN mkdir -p /zr-erp-server WORKDIR /zr-erp-server ARG JAR_FILE=target/HelloWorld-1.0.jar COPY ${JAR_FILE} app.jar EXPOSE 6666 ENV TZ=Asia/Shanghai JAVA_OPTS=" -Xms128m -Xmx512m " ENV ENCODING=" -Dfile.encoding=utf-8 " #睡60 然后启动 CMD java $JAVA_OPTS -jar $ENCODING app.jar 
  3. 使用Docker 发布到服务器
    在这里插入图片描述
    在这里插入图片描述

声明

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/157527.html

(0)
上一篇 2025-01-29 21:00
下一篇 2025-01-29 21:05

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信