zoukankan      html  css  js  c++  java
  • Docker 开启远程安全访问

    Docker 开启远程安全访问

    说明

    如果你的服务器是公网IP,并且开放了docker的远程访问,如果没有进行保护是非常危险的,任何人都可以向你的docker中推送镜像、运行实例。我曾开放过阿里云服务器中docker的远程访问权限,在没有开启保护的状态下,几小时内就被植入了挖矿程序,导致CPU的占用率一直在100%,最终只能将服务器重置。

    接下来我们介绍一下如何利用CA证书,安全的开启Docker的远程,通过TLS进行加密访问。

    本文适用于部署在公网的服务器(包括云服务器),安全的开启docker远程访问。本文并不适用于局域网或虚拟机的加密。

    详细步骤

    下面我们介绍一个如何配置CA证书

    1、先创建一个目录存放ca私钥和公钥

    mkdir -p /usr/local/ca
    

    2、进入此目录 准备生成密钥

    cd /usr/local/ca
    

    3、生成RSA私钥

    运行下面命令时,会提示输入密码,输入两次一致即可。

    openssl genrsa -aes256 -out ca-key.pem 4096
    

    4、以上面生成的RSA密钥创建证书

    运行此命令后,会提示输入国家、省、市、组织名称、单位、邮箱等资料。

    国家只能是两位,例如:CN,其他的随便填写即可。

    openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem
    

    5、生服务端的RSA私钥

    openssl genrsa -out server-key.pem 4096
    

    6、生成服务端的证书签名

    /CN=服务器IP 此处配置你的服务器IP,这里只能是公网IP或域名!

    openssl req -subj "/CN=服务器IP" -sha256 -new -key server-key.pem -out server.csr
    

    7、配置白名单

    DNS: 此处配置你的服务器IP,这里只能是公网IP或域名!

    IP: 此处配置允许访问的IP,可以配置多个,以逗号间隔即可。此处也同样是支支持公网IP。如果允许任何携带证书的人访问,直接修改为0.0.0.0即可

    echo subjectAltName = DNS:服务器IP,IP:0.0.0.0 >> extfile.cnf
    

    8、为extfile.cnf追加属性

    此属性用于服务器身份验证

    echo extendedKeyUsage = serverAuth >> extfile.cnf
    

    9、生成签名过的客户端证书

    期间会要求输入密码,输入和上面一致即可

    openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem 
      -CAcreateserial -out server-cert.pem -extfile extfile.cnf
    

    10、生成客户端的RSA私钥

    openssl genrsa -out key.pem 4096
    

    11、生成client.csr

    openssl req -subj '/CN=client' -new -key key.pem -out client.csr
    

    12、为extfile.cnf添加认证参数

    echo extendedKeyUsage = clientAuth >> extfile.cnf
    

    13、为extfile-client.cnf添加认证参数

    echo extendedKeyUsage = clientAuth > extfile-client.cnf
    

    14、生成签名证书

    openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem 
      -CAcreateserial -out cert.pem -extfile extfile-client.cnf
    

    15、删除无用的配置文件

    rm -v client.csr server.csr extfile.cnf extfile-client.cnf
    

    16、将服务端证书放到docker的目录

    cp server-*.pem /etc/docker/
    

    17、将服务端证书放到docker的目录

    cp ca.pem /etc/docker/
    

    18、修改docker配置文件

    vi /lib/systemd/system/docker.service
    

    19、替换ExecStart属性

    ExecStart=/usr/bin/dockerd 
    --tlsverify --tlscacert=/usr/local/ca/ca.pem 
    --tlscert=/usr/local/ca/server-cert.pem 
    --tlskey=/usr/local/ca/server-key.pem 
    -H tcp://0.0.0.0:2375 
    -H unix:///var/run/docker.sock
    

    20、更新配置文件并重启docker

    systemctl daemon-reload && systemctl restart docker
    

    21、对docker端口2375放行 如果是云服务器 需要在其管理页面中对应开启端口访问

    firewall-cmd --zone=public --add-port=2375/tcp
    

    22、测试

    访问https://ip:2375/version,如果提示需要证书即标识配置成功

    23、使用IDEA连接

    将ca-key.pem、ca.pem、cert.pem、key.pem四个文件拷贝到要访问docker的客户端。

    在IDEA中,将Engine API URL中的TCP协议修改为https

    在IDEA的Certificates folder中配置拷贝了四个文件的目录 点击apply,出现Connection successful即为成功!

    快速配置

    我帮你整理好了配置证书的所有的命令,可以快速复制下面的命令 进行配置,带注释的行要多留意哦。

    mkdir -p /usr/local/ca
    
    cd /usr/local/ca
    
    # 两次一致即可。
    openssl genrsa -aes256 -out ca-key.pem 4096
    
    # 以上面生成的RSA密钥创建证书 运行此命令后,会提示输入国家、省、市、组织名称、单位、邮箱等资料。 
    # 国家只能是两位,例如:CN,其他的随便填写即可。
    openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem
    
    openssl genrsa -out server-key.pem 4096
    
    # /CN=docker.cn 此处配置你的服务器IP,这里只能是公网IP或域名!
    openssl req -subj "/CN=服务器IP" -sha256 -new -key server-key.pem -out server.csr
    
    # 配置白名单
    # DNS: 此处配置你的服务器IP,这里只能是公网IP或域名!
    # IP: 此处配置允许访问的IP,可以配置多个,以逗号间隔即可。此处也同样是支支持公网IP。如果允许任何携带证书的人访问,直接修改为0.0.0.0即可
    echo subjectAltName = DNS:服务器IP,IP:0.0.0.0 >> extfile.cnf
    
    echo extendedKeyUsage = serverAuth >> extfile.cnf
    
    # 输入和上面一致即可
    openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem 
      -CAcreateserial -out server-cert.pem -extfile extfile.cnf
    
    openssl genrsa -out key.pem 4096
    
    openssl req -subj '/CN=client' -new -key key.pem -out client.csr
    
    echo extendedKeyUsage = clientAuth >> extfile.cnf
    
    echo extendedKeyUsage = clientAuth > extfile-client.cnf
    
    openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem 
      -CAcreateserial -out cert.pem -extfile extfile-client.cnf
    
    rm -v client.csr server.csr extfile.cnf extfile-client.cnf
    
    cp server-*.pem /etc/docker/
    
    cp ca.pem /etc/docker/
    
    vi /lib/systemd/system/docker.service
    
    # 替换ExecStart属性
    ExecStart=/usr/bin/dockerd 
    --tlsverify --tlscacert=/usr/local/ca/ca.pem 
    --tlscert=/usr/local/ca/server-cert.pem 
    --tlskey=/usr/local/ca/server-key.pem 
    -H tcp://0.0.0.0:2375 
    -H unix:///var/run/docker.sock
    
    systemctl daemon-reload && systemctl restart docker
    
    firewall-cmd --zone=public --add-port=2375/tcp
    

    访问https://ip:2375/version,如果提示需要证书即标识配置成功

    参考文章:博客园文章 - 原文作者:niceyoo 原文链接:Docker开启远程安全访问

  • 相关阅读:
    小技巧:通过linux一行命令修改ip
    小技巧:textarea文本输入区内实现换行
    set 排序实例
    每日日报
    每日日报
    每日日报
    每日日报
    每日日报
    每日日报
    每日日报
  • 原文地址:https://www.cnblogs.com/zhangruifeng/p/14772181.html
Copyright © 2011-2022 走看看