《伸手系列》之Docker开启2376端口CA认证

《伸手系列》之Docker开启2376端口CA认证

前言

众所周知,docker可以开启远程访问API,但是发现很多都是直接开启2375端口,未做安全配置,从而出现安全隐患,最近在将docker环境统一portainer管理时,发现有这种情况。本文讲解如何开启安全认证的方法,配置TLS保证API的安全。

简单粗暴的开启远程访问

1、开启方式

编辑docker文件:/usr/lib/systemd/system/docker.service

1
vim /usr/lib/systemd/system/docker.service

修改ExecStart行为下面内容

1
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock \

重新加载daemon并重启docker

1
2
systemctl daemon-reload 
systemctl restart docker

2、安全隐患

虽然这种方式只能获取到docker的操作权限,但是docker可以挂载宿主文件夹,并且docker默认使用root运行,这样就可以造成任意文件的读取和写入。
例如:写入ssh公钥,通过挂载/root到docker,然后进入容器写入公钥

或者可以挂载/var/spool/cron/目录,添加计划任务反弹shell

具体的这里就不详细说明了,总之是不推荐生产上这种方式,测试环境如果涉及外网或者重要数据或者服务器都不推荐这种方式

配置证书的安全访问

接下来主要讲通过TLS进行安全配置,当然可以配置防火墙,设置ACL,仅允许信任的来源IP连接的这种方式,这里就不赘述了,主要讲的是进行证书访问。

生成相关的证书文件详细步骤

首先我们需要以CA的身份签服务器证书以及配置白名单等,然后再签客户端证书文件,下面是详细步骤

PS:下文中的IP地址换成自己的Docker服务器对外IP地址

  1. 首先,在Docker守护进程的主机上,生成CA私有和公共密钥

    创建ca文件夹,并以CA的身份签发证书

    1
    2
    mkdir -p /usr/local/ca
    cd /usr/local/ca/

    需要连续输入两次相同的密码

    1
    openssl genrsa -aes256 -out ca-key.pem 4096

    依次输入密码、国家、省、市、组织名称

    1
    openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
  2. 创建一个服务器密钥和证书签名请求(CSR)

    生成server-key.pem

    1
    openssl genrsa -out server-key.pem 4096

    把下面的IP换成你自己服务器外网的IP或者域名

    1
    openssl req -subj "/CN=192.168.1.1" -sha256 -new -key server-key.pem -out server.csr
  1. 配置白名单

    0.0.0.0表示所有ip都可以连接(有证书的才可以连接)

    1
    echo subjectAltName = IP:192.168.1.1,IP:0.0.0.0 >> extfile.cnf
  2. 将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

1
echo extendedKeyUsage = serverAuth >> extfile.cnf
  1. 生成服务器签名证书

    1
    openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf
  2. 创建客户端密钥和证书签名请求

    1
    2
    3
    openssl genrsa -out key.pem 4096

    openssl req -subj '/CN=client' -new -key key.pem -out client.csr
  3. 要使密钥适合客户端身份验证,请创建扩展配置文件

    1
    echo extendedKeyUsage = clientAuth >> extfile.cnf
  4. 生成客户端签名证书

    需要输入前面设置的密码

    1
    openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf
  5. 删除两个证书签名请求文件

    1
    rm -v client.csr server.csr
  6. 修改权限,要保护密钥免受意外损坏,删除其写入权限

1
chmod -v 0400 ca-key.pem key.pem server-key.pem
  1. 证书对外可读,删除写入权限以防止意外损坏
1
chmod -v 0444 ca.pem server-cert.pem cert.pem
  1. 将服务端相关的证书拷贝到目录
1
2
3
cp server-*.pem  /etc/docker/

cp ca.pem /etc/docker/
  1. 修改Docker配置,使Docker守护程序仅接受来自提供CA信任的证书的客户端的连接

    1
    vim /lib/systemd/system/docker.service

    ExecStart=/usr/bin/dockerd 下面增加

    1
    2
    3
    4
    5
    6
    --tlsverify \
    --tlscacert=/etc/docker/ca.pem \
    --tlscert=/etc/docker/server-cert.pem \
    --tlskey=/etc/docker/server-key.pem \
    -H tcp://0.0.0.0:2376 \
    -H unix:///var/run/docker.sock \
  2. 重新加载daemon并重启docker

    1
    2
    systemctl daemon-reload 
    systemctl restart docker

    可以使用 netstat -lnpt 查看2376端口是否被监听

  3. 保存相关客户端的pem文件到本地
    文件为ca.pem、cert.pem、key.pem,idea工具连接直接选择客户端证书文件夹就行, portainer等安装要求选择特定的文件即可。


关注Github:1/2极客

关注博客:御前提笔小书童

关注网站:HuMingfeng

关注公众号:开发者的花花世界


本作品采用知识共享署名 4.0 中国大陆许可协议进行许可,欢迎转载,但转载请注明来自御前提笔小书童,并保持转载后文章内容的完整。本人保留所有版权相关权利。

本文链接:https://www.royalscholar.cn/2020/01/20/《伸手系列》之Docker开启2376端口CA认证/

# IDEA

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×