目录
- 1、修改docker的2375端口为另外的端口,这只是权宜之计。
- 2、给docker进行tls加密
最近公司服务器被挖矿了,最后原因定位到docker的2375端口。
让我们来理一下,最开始发现docker中莫名其妙多了几个镜像和正在运行的容器,而且很吃cpu,且2375端口未设置ip访问规则,意思就是所有人都可以通过你的2375端口操作你的docekr,且用启动容器挂载宿主机文件夹,因为docker使用root权限启动的,所以所有人都可以通过你的2375端口以root用户控制你的宿主机。
下面讲一下我们的应对步骤:
1、修改docker的2375端口为另外的端口,这只是权宜之计。
$ vi /usr/lib/systemd/system/docker.service
重启docker:
$ systemctl daemon-reload $ systemctl restart docker
2、给docker进行tls加密
#!/bin/bash
mkdir -p /root/tls/pem
domain_host=`ifconfig eth0 | grep "inet" | awk '{ print $2}' | sed -n '1p;1q'`
#domain_host=`hostname` #选择域名方案最好
host=$domain_host
# 自定义信息
password="yourpassword"
country=cn
province=gd
city=gz
organization=dounine
group=dg
name=lake
subj="/c=$country/st=$province/l=$city/o=$organization/ou=$group/cn=$host"
# 自定义信息
#============================================================================================
#此形式是自己给自己签发证书,自己就是ca机构,也可以交给第三方机构去签发
# 生成根证书rsa私钥,password作为私钥密码(身份证)
openssl genrsa -passout pass:$password -aes256 -out /root/tls/pem/ca-key.pem 4096
# 2.用根证书rsa私钥生成自签名的根证书(营业执照)
openssl req -new -x509 -days 365 -passin pass:$password -key /root/tls/pem/ca-key.pem -sha256 -subj $subj -out /root/tls/pem/ca.pem
#============================================================================================
#给服务器签发证书
# 1.服务端生成自己的私钥
openssl genrsa -out /root/tls/pem/server-key.pem 4096
# 2.服务端生成证书(里面包含公钥与服务端信息)
openssl req -new -sha256 -key /root/tls/pem/server-key.pem -out /root/tls/pem/server.csr -subj "/cn=$domain_host"
# 3.通过什么形式与我进行连接,可设置多个ip地扯用逗号分隔
echo subjectaltname=ip:$domain_host,ip:0.0.0.0 > /tmp/extfile.cnf
# 4.权威机构对证书进行进行盖章生效
openssl x509 -passin pass:$password -req -days 365 -sha256 -in /root/tls/pem/server.csr -ca /root/tls/pem/ca.pem -cakey /root/tls/pem/ca-key.pem -cacreateserial -out /root/tls/pem/server-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
#给客户端签发证书
openssl genrsa -out /root/tls/pem/client-key.pem 4096
openssl req -subj '/cn=client' -new -key /root/tls/pem/client-key.pem -out /root/tls/pem/client.csr
echo extendedkeyusage = clientauth > /tmp/extfile.cnf
openssl x509 -passin pass:$password -req -days 365 -sha256 -in /root/tls/pem/client.csr -ca /root/tls/pem/ca.pem -cakey /root/tls/pem/ca-key.pem -cacreateserial -out /root/tls/pem/client-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
# 清理文件
rm -rf /root/tls/pem/ca-key.pem
rm -rf /root/tls/pem/{server,client}.csr
rm -rf /root/tls/pem/ca.srl
# 最终文件
# ca.pem == ca机构证书
# client-cert.pem == 客户端证书
# client-key.pem == 客户私钥
# server-cert.pem == 服务端证书
# server-key.pem == 服务端私钥
注意:
- 当domain_host设置成域名时,echo subjectaltname=ip:$domain_host,ip:0.0.0.0 > /tmp/extfile.cnf这段代码的$domain_host应该替换为你的服务器的公网ip
- echo subjectaltname=ip:$domain_host,ip:0.0.0.0 > /tmp/extfile.cnf中的ip:0.0.0.0表示所有ip都可以通过携带证书访问,虽然这里是设定了所有,但是不应该省略显示的定义自己服务器的公网ip。即为ip:$yourip,ip:0.0.0.0,而不是ip:0.0.0.0
赋予该文件执行权限:
$ chmod +x tls.sh
执行该shell脚本后,会在/root/tls/pem目录下生成ca.pem、client-cert.pem、client-key.pem 、server-cert.pem、server-key.pem。
然后修改docker配置:
$ vim /usr/lib/systemd/system/docker.service
添加:
--tlsverify \
--tlscacert=/root/tls/pem/ca.pem \
--tlscert=/root/tls/pem/server-cert.pem \
--tlskey=/root/tls/pem/server-key.pem \
重启docker:
$ systemctl daemon-reload $ systemctl restart docker
现在使用docker remote api进行连接:
无认证:
$ docker -h tcp://192.168.0.150:2376 version
会报错未认证。
携带认证方式:
docker --tlsverify --tlscacert=/root/tls/pem/ca.pem --tlscert=/root/tls/pem/client-cert.pem --tlskey=/root/tls/pem/client-key.pem -h tcp://192.168.0.150:2376 version
到此这篇关于docker remote api一键tls加密的实现的文章就介绍到这了,更多相关docker remote api一键tls加密内容请搜索www.887551.com以前的文章或继续浏览下面的相关文章希望大家以后多多支持www.887551.com!