Docker AC认证解决暴露2375端口引发的安全漏洞
Docker2375端口是Docker守护进程的默认未加密的远程API端口,用于通过Docker
API远程管理Docker守护进程。如果在生产环境中对外开放2375端口,可能会引发安全漏洞,因为攻击者可以利用该端口进行未授权的访问和操作,从而对系统造成危害。
-
生成TLS证书
- 在服务器中新建目录
mkdir /opt/cert/docker && cd /opt/cert/docker
- 创建跟证书RSA秘钥
# 此处需要两次输入密码,请务必记住该密码,在后面步骤会用到 openssl genrsa -aes256 -out ca-key.pem 4096
- 创建CA证书
# 该步骤以上一步生成的密钥创建证书,也就是自签证书,也可从第三方CA机构签发 penssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
- 创建服务器私钥
openssl genrsa -out server-key.pem 4096
- 创建服务端签名请求证书文件
# ${IP}改为自己服务器IP地址 openssl req -subj "/CN=${IP}" -sha256 -new -key server-key.pem -out server.csr
- 创建extfile.cnf的配置文件
# ${IP}改为自己服务器IP地址 echo subjectAltName = IP:${IP},IP:0.0.0.0 >> extfile.cnf echo extendedKeyUsage = serverAuth >> extfile.cnf
- 创建签名生效的服务端证书文件
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf
- 创建客户端私钥
openssl genrsa -out key.pem 4096
- 创建客户端签名请求证书文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
- extfile.cnf文件中增加配置
echo extendedKeyUsage = clientAuth >> extfile.cnf
- 创建签名生效的客户端证书文件
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf
- 删除无用文件
rm -v client.csr server.csr
- 为证书文件授权
chmod -v 0400 ca-key.pem key.pem server-key.pem chmod -v 0444 ca.pem server-cert.pem cert.pem
-
配置Docker支持TLS
- 修改配置文件
# 编辑docker.service配置文件 vim /lib/systemd/system/docker.service # 找到ExecStart=开头的一行代码注释掉 ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock # 新增一条ExecStart将其替换为如下内容(此处设置docker远程端口为2375,可根据需要修改) ExecStart=/usr/bin/dockerd \ --tlsverify --tlscacert=/opt/cert/docker/ca.pem \ --tlscert=/opt/cert/docker/server-cert.pem \ --tlskey=/opt/cert/docker/server-key.pem\ -H fd:// -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
- 刷新配置,重启Docker
systemctl daemon-reload && systemctl restart docker
-
本地连接测试Docker API
# 没有指定证书访问测试
curl https//127.0.0.1:2375/info
# 指定证书访问测试
curl https//127.0.0.1:2375/info --cert /opt/cert/docker/cert.pem --key /opt/cert/docker/key.pem --cacert /opt/cert/docker/ca.pem
最终生成文件如下:
- ca.pem CA证书
- ca-key.pem CA证书私钥
- server-cert.pem 服务端证书
- server-key.pem 服务端证书私钥
- cert.pem 客户端证书
- key.pem 客户端证书私钥