Docker AC认证解决暴露2375端口引发的安全漏洞

Docker2375端口是Docker守护进程的默认未加密的远程API端口,用于通过Docker
API远程管理Docker守护进程。如果在生产环境中对外开放2375端口,可能会引发安全漏洞,因为攻击者可以利用该端口进行未授权的访问和操作,从而对系统造成危害。

  1. 创建生成证书密钥的Shell脚本

    #!/bin/bash
    set -e
    if [ -z $1 ];then
            echo "请输入Docker服务器主机地址"
            exit 0
    fi
    HOST=$1echo
    
    mkdir /opt/cert/docker && cd /opt/cert/docker
    
    # 使用 OpenSSL 创建 CA、服务器和客户端密钥
    openssl genrsa -aes256 -out ca-key.pem 4096
    # Common Name 必须和 $HOST一致
    openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
    
    openssl genrsa -out server-key.pem 4096
    openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
    
    echo subjectAltName = DNS:$HOST,IP:$HOST,IP:0.0.0.0,IP:127.0.0.1 >> extfile.cnf
    
    echo extendedKeyUsage = serverAuth >> extfile.cnf
    openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
      -CAcreateserial -out server-cert.pem -extfile extfile.cnf
    
    
    openssl genrsa -out key.pem 4096
    openssl req -subj '/CN=client' -new -key key.pem -out client.csr
    echo extendedKeyUsage = clientAuth > extfile-client.cnf
    openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
      -CAcreateserial -out cert.pem -extfile extfile-client.cnf
    
    
    rm -v client.csr server.csr extfile.cnf extfile-client.cnf
    chmod -v 0400 ca-key.pem key.pem server-key.pem
    chmod -v 0444 ca.pem server-cert.pem cert.pem
    
  2. 执行脚本传递参数为云服务器的公网IP地址

    sh /script/cert.sh ${输入你的公网IP地址}
    
  3. 配置Docker支持TLS

    1. 修改配置文件
    # 编辑docker.service配置文件
    vim /lib/systemd/system/docker.service
    
    # 找到ExecStart=开头的一行代码注释掉
    ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
    
    # 新增一条ExecStart将其替换为如下内容(此处设置docker远程端口为2375,可根据需要修改)
    ExecStart=/usr/bin/dockerd \
     --tlsverify --tlscacert=/opt/cert/docker/ca.pem  \
     --tlscert=/opt/cert/docker/server-cert.pem \
     --tlskey=/opt/cert/docker/server-key.pem\ 
     -H fd:// -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
    
    1. 刷新配置,重启Docker
    systemctl daemon-reload && systemctl restart docker 
    
  4. 本地连接测试Docker API

# 没有指定证书访问测试
curl https//127.0.0.1:2375/info 

# 指定证书访问测试
curl https//127.0.0.1:2375/info --cert /opt/cert/docker/cert.pem --key /opt/cert/docker/key.pem --cacert /opt/cert/docker/ca.pem

最终生成文件如下:

  • ca.pem CA证书
  • ca-key.pem CA证书私钥
  • server-cert.pem 服务端证书
  • server-key.pem 服务端证书私钥
  • cert.pem 客户端证书
  • key.pem 客户端证书私钥

将客户端所需的 ca.pem、cert.pem、key.pem 3个密钥文件从服务器下载到本地