码迷,mamicode.com
首页 > 其他好文 > 详细

Docker配置TLS认证,修复因暴露2375端口引发漏洞

时间:2020-04-02 15:39:45      阅读:196      评论:0      收藏:0      [点我收藏+]

标签:auth   bullet   cell   code   ram   路径   otto   rem   服务   

1.环境准备

# 查看Docker服务器主机名
hostnamectl
技术图片

这里记住我的主机名s130就好

# 静态主机名修改
vi /etc/hostname
# 临时主机名修改(重启失效)
hostname s130  

2.创建TLS证书

创建create_crets.sh文件并执行,生成的证书在/certs/docker目录下,

# create_crets.sh,将【证书生成脚本】内容复制进去
touch create_crets.sh 
chmod 755 create_crets.sh
# 证书生成脚本
#!/bin/bash
set -e
if [ -z $1 ];then
        echo "请输入Docker服务器主机名"
        exit 0
fi
HOST=$1
mkdir -p /certs/docker
cd /certs/docker
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
# 配置白名单,推荐配置0.0.0.0,允许所有IP连接但只有证书才可以连接成功
echo subjectAltName = DNS:$HOST,IP:0.0.0.0 > extfile.cnf
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa -out key.pem 4096
openssl req -subj ‘/CN=client‘ -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth > extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
rm -v client.csr server.csr
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

执行脚本生成证书,按照提示输入

# 传递的参数s130为服务器的主机名,不能是IP
sh create_crets.sh s130
技术图片

所有密码输入同一个就好,要注意输入Docker服务器主机名s130

3.配置Docker开启TLS认证

vi /usr/lib/systemd/system/docker.service
# 在ExecStart属性后追加
--tlsverify --tlscacert=/certs/docker/ca.pem --tlscert=/certs/docker/server-cert.pem --tlskey=/certs/docker/server-key.pem  \
-H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock \
技术图片
# 重新加载docker配置后重启
systemctl daemon-reload
systemctl restart docker
# 查看2376端口是否启动
netstat -tunlp
技术图片

4.Docker Remote API本机连接测试

# 没有指定证书时,报错含义是签发证书机构未经认证,无法识别
curl https://s130:2376/info 
技术图片
# 指定证书访问ok
curl https://s130:2376/info --cert /certs/docker/cert.pem --key /certs/docker/key.pem --cacert /certs/docker/ca.pem
技术图片

5.IDEA连接配置和测试

从Docker服务器生成的客户端所需的3个密钥下载到我们本地机器上去

技术图片

配置本地机器的域名解析映射(推荐SwitchHosts工具)

技术图片

打开IDEA配置Docker Remote API的URL和密钥存放的路径

技术图片

maven配置修改

技术图片

Docker配置TLS认证,修复因暴露2375端口引发漏洞

标签:auth   bullet   cell   code   ram   路径   otto   rem   服务   

原文地址:https://www.cnblogs.com/bloghxr/p/12620011.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!