Implementierung der One-Click-TLS-Verschlüsselung für die Docker-Remote-API
|
Vor Kurzem wurde der Server des Unternehmens gehackt und die Ursache schließlich am Port 2375 von Docker ausfindig gemacht. Lassen Sie uns das klären. Zunächst stellten wir fest, dass sich aus unbekannten Gründen mehrere weitere Images und laufende Container in Docker befanden, die sehr CPU-intensiv waren. Darüber hinaus wurden für Port 2375 keine IP-Zugriffsregeln festgelegt, was bedeutet, dass jeder Ihren Docekr über Ihren Port 2375 betreiben und den Host-Ordner mit dem Startcontainer mounten kann. Da Docker mit Root-Berechtigungen gestartet wird, kann jeder Ihren Host über Ihren Port 2375 als Root-Benutzer steuern. Hier sind unsere Reaktionsschritte: 1. Ändern Sie den Port 2375 von Docker in einen anderen Port. Dies ist nur eine Notlösung.$ vi /usr/lib/systemd/system/docker.service
Docker neu starten: $ systemctl daemon-neu laden $ systemctl Neustart Docker 2. TLS für Docker verschlüsseln
#!/bin/bash
mkdir -p /root/tls/pem
DOMAIN_HOST=`ifconfig eth0 | grep "inet" | awk '{ print $2}' | sed -n '1p;1q'`
#DOMAIN_HOST=`hostname` #Wählen Sie den besten Domänennamenplan HOST=$DOMAIN_HOST
# Benutzerdefinierte Informationen PASSWORD="IhrPasswort"
LAND=CN
PROVINZ=gd
STADT=gz
ORGANISATION=dounine
GRUPPE=dg
NAME=See
SUBJ="/C=$LAND/ST=$PROVINZ/L=$STADT/O=$ORGANISATION/OU=$GRUPPE/CN=$HOST"
# Benutzerdefinierte Informationen#=================================================================================================================
#Mit diesem Formular stellen Sie sich selbst ein Zertifikat aus. Sie können eine Zertifizierungsstelle sein oder es einer Drittorganisation zur Ausstellung übergeben. #Generieren Sie den privaten RSA-Schlüssel des Stammzertifikats und verwenden Sie das Passwort als privates Schlüsselkennwort (Ausweis).
openssl genrsa -passout pass:$PASSWORT -aes256 -out /root/tls/pem/ca-key.pem 4096
# 2. Generieren Sie ein selbstsigniertes Stammzertifikat (Geschäftslizenz) mit dem privaten RSA-Schlüssel des Stammzertifikats
openssl req -new -x509 -days 365 -passin pass:$PASSWORT -key /root/tls/pem/ca-key.pem -sha256 -subj $SUBJ -out /root/tls/pem/ca.pem
#============================================================================================
#Stellen Sie dem Server ein Zertifikat aus# 1. Der Server generiert seinen eigenen privaten Schlüssel openssl genrsa -out /root/tls/pem/server-key.pem 4096
# 2. Der Server generiert ein Zertifikat (das den öffentlichen Schlüssel und die Serverinformationen enthält)
openssl req -new -sha256 -key /root/tls/pem/server-key.pem -out /root/tls/pem/server.csr -subj "/CN=$DOMAIN_HOST"
# 3. Wie verbinde ich mich mit mir? Sie können mehrere IP-Adressen festlegen und diese durch Kommas trennen echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf
# 4. Die Zertifizierungsstelle stempelt das Zertifikat, um es wirksam zu machen openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/server.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/server-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
#Stellen Sie dem Client ein Zertifikat aus openssl genrsa -out /root/tls/pem/client-key.pem 4096
openssl req -subj '/CN=client' -new -key /root/tls/pem/client-key.pem -out /root/tls/pem/client.csr
echo extendedKeyUsage = clientAuth > /tmp/extfile.cnf
openssl x509 -passin pass:$PASSWORT -req -days 365 -sha256 -in /root/tls/pem/client.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/client-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
# Bereinigen Sie die Datei rm -rf /root/tls/pem/ca-key.pem
rm -rf /root/tls/pem/{server,client}.csr
rm -rf /root/tls/pem/ca.srl
# Endgültige Datei# ca.pem == CA-Zertifikat# client-cert.pem == Client-Zertifikat# client-key.pem == Privater Client-Schlüssel# server-cert.pem == Server-Zertifikat# server-key.pem == Privater Server-SchlüsselBeachten:
Geben Sie der Datei Ausführungsberechtigungen: $ chmod +x tls.sh Nach der Ausführung des Shell-Skripts werden ca.pem, client-cert.pem, client-key.pem, server-cert.pem und server-key.pem im Verzeichnis /root/tls/pem generiert. Ändern Sie dann die Docker-Konfiguration: $ vim /usr/lib/systemd/system/docker.service Hinzufügen zu:
--tlsverify \
--tlscacert=/root/tls/pem/ca.pem \
--tlscert=/root/tls/pem/server-cert.pem \
--tlskey=/root/tls/pem/server-key.pem \
Docker neu starten: $ systemctl daemon-neu laden $ systemctl Neustart Docker Stellen Sie jetzt mithilfe der Docker-Remote-API eine Verbindung her: Keine Zertifizierung: $ docker -H tcp://192.168.0.150:2376 version Es wird eine Fehlermeldung angezeigt, die darauf hinweist, dass die Authentifizierung nicht erfolgreich war. Carry-Authentifizierungsmethode: docker --tlsverify --tlscacert=/root/tls/pem/ca.pem --tlscert=/root/tls/pem/client-cert.pem --tlskey=/root/tls/pem/client-key.pem -H tcp://192.168.0.150:2376 Version Dies ist das Ende dieses Artikels über die Implementierung der One-Click-TLS-Verschlüsselung der Docker-Remote-API. Weitere verwandte Inhalte zur One-Click-TLS-Verschlüsselung der Docker-Remote-API finden Sie in früheren Artikeln auf 123WORDPRESS.COM oder in den folgenden verwandten Artikeln. Ich hoffe, Sie werden 123WORDPRESS.COM auch in Zukunft unterstützen! Das könnte Sie auch interessieren:
|
<<: Beispiel für die Verwendung des href-Attributs und des onclick-Ereignisses eines Tags
>>: Die umfassendste Erklärung des Sperrmechanismus in MySQL
Artikel empfehlen
So installieren Sie MySQL 5.7 manuell auf CentOS 7.4
MySQL-Datenbanken werden häufig verwendet, insbes...
js, um einen Boden-Scrolling-Effekt zu erzielen
In diesem Artikel wird jQuery verwendet, um den E...
Informationen zum Debuggen von CSS-Cross-Browser-Style-Fehlern
Als Erstes müssen Sie einen guten Browser auswähl...
Detaillierte Erklärung der JavaScript-Timer
Inhaltsverzeichnis Kurze Einleitung Intervall fes...
Allgemeine Verwendung von regulären Ausdrücken in MySQL
Allgemeine Verwendung von Regexp in Mysql Fuzzy-M...
Beispiel für die Bereitstellung eines Django-Projekts mit Docker
Es ist auch sehr einfach, Django-Projekte mit Doc...
Detaillierte Erklärung häufig verwendeter Stile in CSS3 [Grundlegende Text- und Schriftstile]
Zusammenfassung: Damit Ihre Webseite schöner auss...
Zusammenfassung der relevanten Wissenspunkte zu Ajax in jQuery
Vorwort Studenten, die JavaScript lernen, wissen,...
Probleme und Lösungen bei der Verwendung der TweenMax-Animationsbibliothek in Angular
Ich habe in letzter Zeit nichts zu tun, also bast...
Über das Problem der Offline-Installation des Docker-Pakets unter CentOS 8.4
Die verwendete virtuelle Maschine ist CentOS 8.4,...
Anwendungshandbuch für chinesische WEB-Schriftarten
Die Verwendung von Schriftarten im Web ist sowohl ...
HTML realisiert Echtzeit-Überwachungsfunktion der Hikvision-Kamera
Das Unternehmen hat vor Kurzem einige CCFA-Aktivi...
Einfacher Vergleich von Meta-Tags in HTML
Das Meta-Tag wird verwendet, um Dateiinformationen...
Ein kleines Problem mit Nullwerten in MySQL
Heute habe ich beim Testen des Nullwertes ein kle...
Detaillierte Erklärung der englischen Namen, die der Schriftfamilie chinesischer Schriftarten in CSS-Stilen entsprechen
Lied: SimSun Fett: SimHei Microsoft YaHei: Micros...