码迷,mamicode.com
首页 > 其他好文 > 详细

Docker配置TLS认证,修复因暴露2375端口引发漏洞

时间:2020-04-02 15:39:45      阅读:196      评论:0      收藏:0      [点我收藏+]

标签:auth   bullet   cell   code   ram   路径   otto   rem   服务   

1.环境准备

# 查看Docker服务器主机名
hostnamectl
技术图片

这里记住我的主机名s130就好

# 静态主机名修改
vi /etc/hostname
# 临时主机名修改(重启失效)
hostname s130  

2.创建TLS证书

创建create_crets.sh文件并执行,生成的证书在/certs/docker目录下,

# create_crets.sh,将【证书生成脚本】内容复制进去
touch create_crets.sh 
chmod 755 create_crets.sh
# 证书生成脚本
#!/bin/bash
set -e
if [ -z $1 ];then
        echo "请输入Docker服务器主机名"
        exit 0
fi
HOST=$1
mkdir -p /certs/docker
cd /certs/docker
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
# 配置白名单,推荐配置0.0.0.0,允许所有IP连接但只有证书才可以连接成功
echo subjectAltName = DNS:$HOST,IP:0.0.0.0 > extfile.cnf
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa -out key.pem 4096
openssl req -subj ‘/CN=client‘ -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth > extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
rm -v client.csr server.csr
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

执行脚本生成证书,按照提示输入

# 传递的参数s130为服务器的主机名,不能是IP
sh create_crets.sh s130
技术图片

所有密码输入同一个就好,要注意输入Docker服务器主机名s130

3.配置Docker开启TLS认证

vi /usr/lib/systemd/system/docker.service
# 在ExecStart属性后追加
--tlsverify --tlscacert=/certs/docker/ca.pem --tlscert=/certs/docker/server-cert.pem --tlskey=/certs/docker/server-key.pem  \
-H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock \
技术图片 
# 重新加载docker配置后重启
systemctl daemon-reload
systemctl restart docker
# 查看2376端口是否启动
netstat -tunlp
技术图片

4.Docker Remote API本机连接测试

# 没有指定证书时,报错含义是签发证书机构未经认证,无法识别
curl https://s130:2376/info 
技术图片 
# 指定证书访问ok
curl https://s130:2376/info --cert /certs/docker/cert.pem --key /certs/docker/key.pem --cacert /certs/docker/ca.pem
技术图片

5.IDEA连接配置和测试

从Docker服务器生成的客户端所需的3个密钥下载到我们本地机器上去

技术图片

配置本地机器的域名解析映射(推荐SwitchHosts工具)

技术图片

打开IDEA配置Docker Remote API的URL和密钥存放的路径

技术图片

maven配置修改

技术图片

Docker配置TLS认证,修复因暴露2375端口引发漏洞

标签:auth   bullet   cell   code   ram   路径   otto   rem   服务   

原文地址:https://www.cnblogs.com/bloghxr/p/12620011.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!