【备忘录】Docker 2375远程端口安全漏洞解决

news/2024/6/20 20:56:29/文章来源:https://blog.csdn.net/tanlintanlin/article/details/137069528

最近为了项目需要,把docker 的远程端口2375 给开放了。不出意外出意外了。没多久,网站报流量告警,第一反应就是开放2375这个端口问题导致,毫不迟疑直接切换服务器。关闭该台服务器的docker服务,并逐步清理掉挖矿进程,过程之艰辛就不想再提起。业务原因又不得不要开放该端口,下面备忘一下修复该漏洞的过程。

Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了。要想修复该漏洞,其实主要就准备几个证书的事。

第一步,准备证书

主要是5个证书和秘钥文件,分别是ca.pem、server-cert.pem、server-key.pem、client-cert.pem和client-key.pem。其中,server-cert.pem中限制了能够访问Docker主机的客户端列表。

1.生成CA私钥ca-key.pem,使用该私钥对CA证书签名。(ca-key.pem是一个临时文件,最后可以删除。)

[root@web-dev01 dockerauth]# openssl genrsa -out ~/dockerauth/ca-key.pem 4096

2.使用CA私钥生成自签名CA证书ca.pem。生成证书时,通过-days 365设置证书的有效期。单位为天,默认情况下为30天。

[root@web-dev01 dockerauth]# openssl req -x509 -sha256 -batch -subj '/C=CN/ST=chongqing/L=Chongqing/O=qinghub/OU=Laboratory/CN=www.qinghub.net' -new -days 3650 -key ~/dockerauth/ca-key.pem -out ~/dockerauth/ca.pem
[root@web-dev01 dockerauth]# ll
总用量 8
-rw------- 1 root root 3243 326 15:29 ca-key.pem
-rw-r--r-- 1 root root 2074 326 15:32 ca.pem
[root@web-dev01 dockerauth]# 

注意:

C表示国家,中国为CN。
ST表示省,比如Sichuan。
L表示城市,比如Chengdu。
O表示公司,比如Ghostcloud Co.,Ltd。
OU表示部门名字,比如Laboratory。
CN表示公司域名,比如www.ghostcloud.cn

3.生成服务器私钥server-key.pem和server-csr.pem。CN为DockerDaemon。

[root@web-dev01 dockerauth]# openssl req -x509 -sha256 -batch -subj '/C=CN/ST=Chongqing/L=Chongqing/O=qinghub/OU=Laboratory/CN=www.qinghub.net' -new -days 3650 -key ~/dockerauth/ca-key.pem -out ~/dockerauth/ca.pem
[root@web-dev01 dockerauth]# openssl genrsa -out ~/dockerauth/server-key.pem 4096
Generating RSA private key, 4096 bit long modulus (2 primes)
..........................++++
............................................................................................++++
e is 65537 (0x010001)
[root@web-dev01 dockerauth]# openssl req -subj '/CN=DockerDaemon' -sha256 -new -key ~/dockerauth/server-key.pem -out ~/dockerauth/server-csr.pem
[root@web-dev01 dockerauth]# ll
总用量 20
-rw------- 1 root root 3243 326 15:29 ca-key.pem
-rw-r--r-- 1 root root 2074 326 15:38 ca.pem
-rw-r--r-- 1 root root 1590 326 15:45 server-csr.pem
-rw------- 1 root root 3247 326 15:38 server-key.pem

4.使用CA证书生成服务器证书server-cert.pem。TLS连接时,需要限制客户端的IP列表或者域名列表。只有在列表中的客户端才能通过客户端证书访问Docker Daemon。如果添加0.0.0.0,则所有客户端都可以通过证书访问Docker Daemon。

首先生成allow.list

[root@web-dev01 dockerauth]# echo subjectAltName = IP:127.0.0.1,IP:10.0.0.21,IP:10.0.0.22,IP:10.0.0.54 > ~/dockerauth/allow.list
[root@web-dev01 dockerauth]# ll
总用量 16
-rw-r--r-- 1 root root   69 326 15:41 allow.list

再通过allow.list生成server-cert.pem

[root@web-dev01 dockerauth]# openssl x509 -req -days 365 -sha256 -in ~/dockerauth/server-csr.pem -CA ~/dockerauth/ca.pem -CAkey ~/dockerauth/ca-key.pem -CAcreateserial -out ~/dockerauth/server-cert.pem -extfile ~/dockerauth/allow.list
Signature ok
subject=CN = DockerDaemon
Getting CA Private Key
[root@web-dev01 dockerauth]# ll

5.生成客户端私钥client-key.pem和client-csr.pem。CN为DockerClient。

client-csr.pem是一个临时文件,生成client-cert.pem以后,可以删除。

[root@web-dev01 dockerauth]# openssl genrsa -out ~/dockerauth/client-key.pem 4096
Generating RSA private key, 4096 bit long modulus (2 primes)
.........++++
...........................................++++
e is 65537 (0x010001)
[root@web-dev01 dockerauth]# openssl req -subj '/CN=DockerClient' -new -key ~/dockerauth/client-key.pem -out ~/dockerauth/client-csr.pem
[root@web-dev01 dockerauth]# ll
总用量 36
-rw-r--r-- 1 root root   69 326 15:41 allow.list
-rw------- 1 root root 3243 326 15:29 ca-key.pem
-rw-r--r-- 1 root root 2074 326 15:38 ca.pem
-rw-r--r-- 1 root root   41 326 15:45 ca.srl
-rw-r--r-- 1 root root 1590 326 15:47 client-csr.pem
-rw------- 1 root root 3247 326 15:47 client-key.pem
-rw-r--r-- 1 root root 1883 326 15:45 server-cert.pem
-rw-r--r-- 1 root root 1590 326 15:45 server-csr.pem
-rw------- 1 root root 3247 326 15:38 server-key.pem

6.使用CA证书生成客户端证书client-cert.pem。需要加入extendedKeyUsage选项。

[root@web-dev01 dockerauth]# echo extendedKeyUsage = clientAuth > ~/dockerauth/options.list
[root@web-dev01 dockerauth]# openssl x509 -req -days 3650 -sha256 -in ~/dockerauth/client-csr.pem -CA ~/dockerauth/ca.pem -CAkey ~/dockerauth/ca-key.pem -CAcreateserial -out ~/dockerauth/client-cert.pem -extfile ~/dockerauth/options.list
Signature ok
subject=CN = DockerClient
Getting CA Private Key
[root@web-dev01 dockerauth]#

7.成功生成了需要的证书和秘钥,可以删除临时文件。并修改密钥访问权限

所有生成得文件如下:

[root@web-dev01 dockerauth]# ll
总用量 44
-rw-r--r-- 1 root root   69 326 15:41 allow.list
-rw------- 1 root root 3243 326 15:29 ca-key.pem
-rw-r--r-- 1 root root 2074 326 15:38 ca.pem
-rw-r--r-- 1 root root   41 326 16:01 ca.srl
-rw-r--r-- 1 root root 1862 326 16:01 client-cert.pem
-rw-r--r-- 1 root root 1590 326 15:47 client-csr.pem
-rw------- 1 root root 3247 326 15:47 client-key.pem
-rw-r--r-- 1 root root   30 326 16:01 options.list
-rw-r--r-- 1 root root 1883 326 15:45 server-cert.pem
-rw-r--r-- 1 root root 1590 326 15:45 server-csr.pem
-rw------- 1 root root 3247 326 15:38 server-key.pem
[root@web-dev01 dockerauth]# 
[root@web-dev01 dockerauth]# 

删除并修改权限

[root@web-dev01 dockerauth]# rm -f ~/dockerauth/server-csr.pem ~/dockerauth/client-csr.pem ~/dockerauth/allow.list ~/dockerauth/options.list
[root@web-dev01 dockerauth]# 
[root@web-dev01 dockerauth]# chmod 0444 ~/dockerauth/ca.pem ~/dockerauth/server-cert.pem ~/dockerauth/client-cert.pem
[root@web-dev01 dockerauth]# chmod 0400 ~/dockerauth/ca-key.pem ~/dockerauth/server-key.pem ~/dockerauth/client-key.pem
[root@web-dev01 dockerauth]# ll
总用量 28
-r-------- 1 root root 3243 326 15:29 ca-key.pem
-r--r--r-- 1 root root 2074 326 15:38 ca.pem
-rw-r--r-- 1 root root   41 326 16:01 ca.srl
-r--r--r-- 1 root root 1862 326 16:01 client-cert.pem
-r-------- 1 root root 3247 326 15:47 client-key.pem
-r--r--r-- 1 root root 1883 326 15:45 server-cert.pem
-r-------- 1 root root 3247 326 15:38 server-key.pem
[root@web-dev01 dockerauth]# 

第二步,修改启动配置。

启动Docker Deamon时,需要设置-H、–tls、–tlscacert=ca.pem、–tlscert=server-cert.pem和–tlskey=server-key.pem。此时,只有客户端列表中的主机能够访问Docker主机。

1、重启Docker Daemon,加入ca.pem、server-cert.pem和server-key.pem。-H=0.0.0.0:2376表示Docker Daemon监听在2376端口。

修改docker 启动服务配置
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/dockerauth/ca.pem --tlscert=/root/dockerauth/server-cert.pem --tlskey=/root/dockerauth/server-key.pem -H=0.0.0.0:2376 -H fd:// --containerd=/run/containerd/containerd.sock

[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service containerd.service
Wants=network-online.target
Requires=docker.socket containerd.service[Service]
Type=notify
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/dockerauth/ca.pem --tlscert=/root/dockerauth/server-cert.pem --tlskey=/root/dockerauth/server-key.pem -H=0.0.0.0:2376 -H fd:// --containerd=/run/containerd/containerd.sock
ExecReload=/bin/kill -s HUP 
TimeoutSec=0
RestartSec=2
Restart=always
StartLimitBurst=3
StartLimitInterval=60s
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity
Delegate=yes
KillMode=process
OOMScoreAdjust=-500[Install]
WantedBy=multi-user.target

2.在客户端,运行docker命令时,加入ca.pem、client-cert.pem和client-key.pem。本例中,只有127.0.0.1和10.0.0.22,10.0.0.21的客户端可以访问Docker Daemon。

[root@web-dev01 dockerauth]# docker --tlsverify --tlscacert=/root/dockerauth/ca.pem --tlscert=/root/dockerauth/client-cert.pem --tlskey=/root/dockerauth/client-key.pem -H=tcp://10.0.0.22:2376 info
Client:Version:    24.0.5Context:    defaultDebug Mode: falseServer:Containers: 8Running: 8Paused: 0

看到如上示例中得信息,说明已经配置成功。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_1033882.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CCIE-12-IPSec-VPN-RemoteAccess

目录 实验条件网络拓朴实验目的 开始配置1. R2 Ping R3确定基础网络是通的2. 配置R23. 配置R53. 验证 实验条件 网络拓朴 实验目的 为R2和R3建立IPSec VPN R4可以ping通R5 开始配置 R2:模拟需要远程访问网络的网关 R4:模拟需要远程访问网络内的目标主…

【Java 集合进阶】单练集合顶层接口collction迭代器

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~ ✨主攻领域:【渗透领域】【应急响应】 【Java】 【VulnHub靶场复现】【面试分析】 🎉点赞➕评论➕收藏 …

网络攻防中之url跳转过程分析和使用欺骗方法生成自己的恶意链接过程,以及点击劫持和绕过验证的几种方式

网络攻防中之url跳转过程分析和使用欺骗方法生成自己的恶意链接过程,以及点击劫持和绕过验证的几种方式。 URL跳转过程分析 URL跳转是Web应用中常见的一种行为,它通常通过HTTP重定向来实现。在网络攻防中,分析URL跳转过程对于理解应用的行为和识别潜在的安全漏洞至关重要。 …

使用html实现图片相册展示设计

<!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>图片&#xff08;相册&#xff09;展示设计</title><link rel"stylesheet" href"./style.css"> </head> <b…

【讲解下Docker in Docker的原理与实践】

&#x1f308;个人主页:程序员不想敲代码啊&#x1f308; &#x1f3c6;CSDN优质创作者&#xff0c;CSDN实力新星&#xff0c;CSDN博客专家&#x1f3c6; &#x1f44d;点赞⭐评论⭐收藏 &#x1f91d;希望本文对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提…

Web开发-Django学习笔记

客户端如何获取服务端的数据信息&#xff1f; 通常 是 HTTP网络协议&#xff0c;通过网络传输数据信息。 客户端通过HTTP协议发送请求信息给服务端&#xff0c;并从服务端接收响应信息。 Web 前端开发&#xff1a; &#xff08;HTML、CSS、JS&#xff09;文件部署在后端服务…

基于8086贪吃蛇游戏系统方恨设计

**单片机设计介绍&#xff0c;基于8086贪吃蛇游戏系统方恨设计 文章目录 一 概要二、功能设计三、 软件设计原理图 五、 程序六、 文章目录 一 概要 基于8086的贪吃蛇游戏系统设计是一个结合了微处理器控制、游戏逻辑以及图形显示技术的综合性项目。该系统旨在通过8086微处理器…

了解一下npm i的流程与原理

流程 执行npm install&#xff0c;先判断有无lock文件。 1、没有lock文件。会先根据依赖构建出扁平的依赖关系决定下哪些包。新版本的依赖关系是扁平化的&#xff0c;老版本是树结构&#xff0c;可能会出现依赖重复安装的问题&#xff0c;老版本示意图如下&#xff1a; 作为前…

Ps:颜色查找

颜色查找 Color Lookup命令通过应用预设的 LUT 来改变图像的色彩和调性&#xff0c;从而为摄影师和设计师提供了一种快速实现复杂色彩调整的方法&#xff0c;广泛应用于颜色分级、视觉风格的统一和创意色彩效果的制作。 Ps菜单&#xff1a;图像/调整/颜色查找 Adjustments/Colo…

文心一言 VS 讯飞星火 VS chatgpt (225)-- 算法导论16.3 7题

七、推广赫夫曼算法&#xff0c;使之能生成三进制的码字(即码字由符号0、1、2组成)&#xff0c;并证明你的算法能生成最优三进制码。如果要写代码&#xff0c;请用go语言。 文心一言&#xff1a; 推广赫夫曼算法以生成三进制码字需要对算法进行一定的修改&#xff0c;确保在每…

关于v114之后的chromedriver及存放路径

使用selenium调用浏览器时&#xff0c;我一直调用谷歌浏览器&#xff0c;可浏览器升级后&#xff0c;就会再次遇到以前遇到过的各种问题&#xff0c;诸如&#xff1a;1、怎么关闭浏览器更新&#xff1b;2、去哪儿下载chromedriver&#xff1b;3、114版本之后的驱动去哪儿下载&a…

《Python之路:系统自学指南》

引言 在当今信息时代&#xff0c;编程已经成为一项越来越重要的技能。而Python作为一门功能强大、易学易用的编程语言&#xff0c;受到了越来越多人的青睐。然而&#xff0c;学习Python并不是一蹴而就的事情&#xff0c;尤其是对于没有编程基础的初学者来说&#xff0c;往往需…

yolov5+pyside6+登录+用户管理目标检测可视化源码

一、软件简介 这是基于yolov5目标检测实现的源码&#xff0c;提供了用户登录功能界面&#xff1b; 用户需要输入正确的用户名和密码才可以登录。如果是超级管理员&#xff0c;可以修改普通用户的信息&#xff0c;并且在检测界面的右上角显示【管理用户】按钮。 支持图片、视频、…

<网络> 网络Socket 编程基于UDP协议模拟简易网络通信

目录 前言&#xff1a; 一、预备知识 &#xff08;一&#xff09;IP地址 &#xff08;二&#xff09;端口号 &#xff08;三&#xff09;端口号与进程PID &#xff08;四&#xff09;传输层协议 &#xff08;五&#xff09;网络字节序 二、socket 套接字 &#xff08;…

手机扫码看文件怎么实现?文件二维码的生成技巧及步骤

通过手机扫码查看word、pdf、excel等文件是现在很常见的一种内容获取方式&#xff0c;这种方式能够让文件在较短的时间内实现快速分享&#xff0c;提高了用户获取文件的便利性&#xff0c;为用户带来更好的体验效果。 那么不同格式的文件该如何制作二维码呢&#xff1f;相信有…

【漏洞复现】用友分析云druid存在未授权访问漏洞

Nx01 阅读须知 如棠安全的技术文章仅供参考&#xff0c;此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等&#xff08;包括但不限于&#xff09;进行检测或维护参考&#xff0c;未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的…

Java八股文(设计模式)

Java八股文の设计模式 设计模式 设计模式 什么是设计模式&#xff1f;请列举一些常见的设计模式。 设计模式是软件设计中常用的一种思维模式&#xff0c;它描述了一类具有相似特征和解决思路的问题。 常见的设计模式包括单例模式、工厂模式、观察者模式、装饰器模式等。 请解释…

Python 代码混淆工具概述

在保护Python代码安全方面&#xff0c;有多种混淆工具可供选择&#xff0c;包括 Cython, Nuitka, Pyminifier 和 IPA guard。本文将介绍这些工具的特点和适用情况&#xff0c;以及在实际应用中的注意事项。 &#x1f4dd; 摘要 本文探讨了几种常见的 Python 代码混淆工具&am…

Hive3.0.0出库库表中timestamp字段读取为null

在利用sqoop1.99.7做数据迁移的时候&#xff0c;从mysql导出表格到hive建立对应的表格&#xff0c;字段中使用了timestamp类型&#xff0c;在读取数据的时候&#xff0c;发现数据为null。查找问题方法如下&#xff1a; 1、查询库表字段类型 命令&#xff1a;desc tablen…

03-MySQl数据库的-用户管理

一、创建新用户 mysql> create user xjzw10.0.0.% identified by 1; Query OK, 0 rows affected (0.01 sec) 二、查看当前数据库正在登录的用户 mysql> select user(); ---------------- | user() | ---------------- | rootlocalhost | ---------------- 1 row …