Implementierung der One-Click-TLS-Verschlüsselung für die Docker-Remote-API

Inhaltsverzeichnis

1. Ändern Sie den Port 2375 von Docker in einen anderen Port. Dies ist nur eine Notlösung.
2. TLS für Docker verschlüsseln

Vor Kurzem wurde der Server des Unternehmens gehackt und die Ursache schließlich am Port 2375 von Docker ausfindig gemacht.

Lassen Sie uns das klären. Zunächst stellten wir fest, dass sich aus unbekannten Gründen mehrere weitere Images und laufende Container in Docker befanden, die sehr CPU-intensiv waren. Darüber hinaus wurden für Port 2375 keine IP-Zugriffsregeln festgelegt, was bedeutet, dass jeder Ihren Docekr über Ihren Port 2375 betreiben und den Host-Ordner mit dem Startcontainer mounten kann. Da Docker mit Root-Berechtigungen gestartet wird, kann jeder Ihren Host über Ihren Port 2375 als Root-Benutzer steuern.

Hier sind unsere Reaktionsschritte:

1. Ändern Sie den Port 2375 von Docker in einen anderen Port. Dies ist nur eine Notlösung.

$ vi /usr/lib/systemd/system/docker.service

Bildbeschreibung hier einfügen

Docker neu starten:

$ systemctl daemon-neu laden
$ systemctl Neustart Docker

2. TLS für Docker verschlüsseln

#!/bin/bash
mkdir -p /root/tls/pem
DOMAIN_HOST=`ifconfig eth0 | grep "inet" | awk '{ print $2}' | sed -n '1p;1q'`
#DOMAIN_HOST=`hostname` #Wählen Sie den besten Domänennamenplan HOST=$DOMAIN_HOST
# Benutzerdefinierte Informationen PASSWORD="IhrPasswort"
LAND=CN
PROVINZ=gd
STADT=gz
ORGANISATION=dounine
GRUPPE=dg
NAME=See
SUBJ="/C=$LAND/ST=$PROVINZ/L=$STADT/O=$ORGANISATION/OU=$GRUPPE/CN=$HOST"
# Benutzerdefinierte Informationen#=================================================================================================================
#Mit diesem Formular stellen Sie sich selbst ein Zertifikat aus. Sie können eine Zertifizierungsstelle sein oder es einer Drittorganisation zur Ausstellung übergeben. #Generieren Sie den privaten RSA-Schlüssel des Stammzertifikats und verwenden Sie das Passwort als privates Schlüsselkennwort (Ausweis).
openssl genrsa -passout pass:$PASSWORT -aes256 -out /root/tls/pem/ca-key.pem 4096
# 2. Generieren Sie ein selbstsigniertes Stammzertifikat (Geschäftslizenz) mit dem privaten RSA-Schlüssel des Stammzertifikats
openssl req -new -x509 -days 365 -passin pass:$PASSWORT -key /root/tls/pem/ca-key.pem -sha256 -subj $SUBJ -out /root/tls/pem/ca.pem
#============================================================================================
#Stellen Sie dem Server ein Zertifikat aus# 1. Der Server generiert seinen eigenen privaten Schlüssel openssl genrsa -out /root/tls/pem/server-key.pem 4096
# 2. Der Server generiert ein Zertifikat (das den öffentlichen Schlüssel und die Serverinformationen enthält)
openssl req -new -sha256 -key /root/tls/pem/server-key.pem -out /root/tls/pem/server.csr -subj "/CN=$DOMAIN_HOST"
# 3. Wie verbinde ich mich mit mir? Sie können mehrere IP-Adressen festlegen und diese durch Kommas trennen echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf
# 4. Die Zertifizierungsstelle stempelt das Zertifikat, um es wirksam zu machen openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/server.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/server-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
#Stellen Sie dem Client ein Zertifikat aus openssl genrsa -out /root/tls/pem/client-key.pem 4096
openssl req -subj '/CN=client' -new -key /root/tls/pem/client-key.pem -out /root/tls/pem/client.csr
echo extendedKeyUsage = clientAuth > /tmp/extfile.cnf
openssl x509 -passin pass:$PASSWORT -req -days 365 -sha256 -in /root/tls/pem/client.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/client-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
# Bereinigen Sie die Datei rm -rf /root/tls/pem/ca-key.pem
rm -rf /root/tls/pem/{server,client}.csr
rm -rf /root/tls/pem/ca.srl
# Endgültige Datei# ca.pem == CA-Zertifikat# client-cert.pem == Client-Zertifikat# client-key.pem == Privater Client-Schlüssel# server-cert.pem == Server-Zertifikat# server-key.pem == Privater Server-Schlüssel

Beachten:

Wenn DOMAIN_HOST auf den Domänennamen eingestellt ist, echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf. Das $DOMAIN_HOST in diesem Code sollte durch die öffentliche IP-Adresse Ihres Servers ersetzt werden.
echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > IP:0.0.0.0 in /tmp/extfile.cnf bedeutet, dass auf alle IPs mit Zertifikaten zugegriffen werden kann. Obwohl hier alle eingestellt sind, sollte die öffentliche IP Ihres Servers nicht ausgelassen werden. Das heißt, IP:$yourip,IP:0.0.0.0, nicht IP:0.0.0.0

Geben Sie der Datei Ausführungsberechtigungen:

$ chmod +x tls.sh

Nach der Ausführung des Shell-Skripts werden ca.pem, client-cert.pem, client-key.pem, server-cert.pem und server-key.pem im Verzeichnis /root/tls/pem generiert.

Ändern Sie dann die Docker-Konfiguration:

$ vim /usr/lib/systemd/system/docker.service

Hinzufügen zu:

		--tlsverify \
        --tlscacert=/root/tls/pem/ca.pem \
        --tlscert=/root/tls/pem/server-cert.pem \
        --tlskey=/root/tls/pem/server-key.pem \

Docker neu starten:

$ systemctl daemon-neu laden
$ systemctl Neustart Docker

Stellen Sie jetzt mithilfe der Docker-Remote-API eine Verbindung her:

Keine Zertifizierung:

$ docker -H tcp://192.168.0.150:2376 version

Es wird eine Fehlermeldung angezeigt, die darauf hinweist, dass die Authentifizierung nicht erfolgreich war.

Carry-Authentifizierungsmethode:

docker --tlsverify --tlscacert=/root/tls/pem/ca.pem --tlscert=/root/tls/pem/client-cert.pem --tlskey=/root/tls/pem/client-key.pem -H tcp://192.168.0.150:2376 Version

Dies ist das Ende dieses Artikels über die Implementierung der One-Click-TLS-Verschlüsselung der Docker-Remote-API. Weitere verwandte Inhalte zur One-Click-TLS-Verschlüsselung der Docker-Remote-API finden Sie in früheren Artikeln auf 123WORDPRESS.COM oder in den folgenden verwandten Artikeln. Ich hoffe, Sie werden 123WORDPRESS.COM auch in Zukunft unterstützen!

Das könnte Sie auch interessieren:

Detailliertes Beispiel für eine Remote-Verbindung zu Docker mithilfe einer TLS-verschlüsselten Kommunikation
So aktivieren Sie TLS- und CA-Authentifizierung in Docker
Docker stellt eine MySQL-Remoteverbindung bereit, um 2003-Probleme zu lösen
Docker ermöglicht sicheren TLS-Remoteverbindungszugriff

<<: Beispiel für die Verwendung des href-Attributs und des onclick-Ereignisses eines Tags

>>: Die umfassendste Erklärung des Sperrmechanismus in MySQL

Verwenden von System.Drawing.Common in Linux/Docker

Implementierung der One-Click-TLS-Verschlüsselung für die Docker-Remote-API

Inhaltsverzeichnis

1. Ändern Sie den Port 2375 von Docker in einen anderen Port. Dies ist nur eine Notlösung.

2. TLS für Docker verschlüsseln

Verwenden von System.Drawing.Common in Linux/Docker

Detaillierte Analyse von GUID-Anzeigeproblemen in Mongodb

Detaillierte Erläuterung der Nginx-Statusüberwachung und Protokollanalyse

Empfehlen Sie eine coole interaktive Website, die von einem Front-End-Ingenieur erstellt wurde

Detaillierte Schritte für deepin20 zur Installation von NVIDIA Closed-Source-Treibern

Detaillierte Erläuterung der am häufigsten verwendeten Image-Befehle und Container-Befehle von Docker

Definieren Sie Ihre eigene Ajax-Funktion mit JavaScript

Eine kurze Diskussion über die Lebenszyklusfunktionen von React Component

Was tun, wenn Sie bei der Installation von MySQL auf einem Mac das ursprüngliche Kennwort vergessen?

JavaScript implementiert das Topfschlagen-Spiel von Gray Wolf

Artikel empfehlen

Zusammenfassung der Unterschiede zwischen Get- und Post-Anfragen in Vue

JS implementiert Städtelisteneffekt basierend auf VUE-Komponente

Docker trifft auf Intellij IDEA, Java-Entwicklung steigert die Produktivität um das Zehnfache

Fallstudie zum JavaScript DOMContentLoaded-Ereignis

Lösung für den Docker-Container, der keine Schreibberechtigung für das Host-Verzeichnis hat

Anfänger verstehen das MySQL-Deadlock-Problem anhand des Quellcodes

So weisen Sie Feldern bei der MySQL-Abfrage Standardwerte zu

MySql verwendet Skip-Name-Resolve, um das Problem langsamer externer Netzwerkverbindungen des Clients zu lösen

So blockieren Sie IP und IP-Bereich in Nginx

Details zum Vergleich der MySQL-Datenkomprimierungsleistung

Detaillierte Erklärung, wie MySQL Phantom-Lesevorgänge löst

Bringen Sie Ihnen bei, Dutzende von Zeilen JS zu verwenden, um coole interaktive Canvas-Effekte zu erzielen

Welche Bilddateiformate gibt es und wie wählt man sie aus?

Ausführliche Erläuterung der Standortpriorität von Nginx

Detaillierter Prozess für den Einstieg mit Docker Compose HelloWorld