Docker Access to the remote API

原创 已于 2022-08-23 15:14:33 修改 · 444 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器

于 2022-08-23 15:11:26 首次发布
本文详细介绍了如何通过编写脚本自动创建CA证书,配置docker服务,以及修复远程API漏洞的步骤,包括生成CA和服务器私钥、配置docker服务并重启,以提升Docker安全性。

Docker远程api漏洞处理

Step1:编写自动CA证书生成脚本

#!/bin/bash
ip=10.6.119.21
password=zhangyou@1988
dir=/root/docker/cert

if [ ! -d "$dir" ];then
echo ""
echo "$dir , not dir , will create"
echo ""
mkdir -p $dir
else
echo ""
echo "$dir , dir exist , will delete and create"
echo ""
rm -rf $dir
mkdir -p $dir
fi
 
cd $dir
# 创建根证书RSA私钥
openssl genrsa -aes256 -passout pass:$password  -out ca-key.pem 4096
# 创建CA证书
openssl req -new -x509 -days 3650 -key ca-key.pem -passin pass:$password -sha256 -out ca.pem -subj "/C=CN/ST=shanghai/L=jiading/O=UnitedImaging/CN=$ip"

# 创建服务端私钥
openssl genrsa -out server-key.pem 4096
# 创建服务端签名请求证书文件
openssl req -subj "/CN=$ip" -sha256 -new -key server-key.pem -out server.csr
echo subjectAltName = IP:$ip,IP:0.0.0.0 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
# 创建签名生效的服务端证书文件 
openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out server-cert.pem -extfile extfile.cnf

# 创建客户端私钥
openssl genrsa -out key.pem 4096
# 创建客户端签名请求证书文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf 
echo extendedKeyUsage = clientAuth > extfile-client.cnf
# 创建签名生效的客户端证书文件
openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out cert.pem -extfile extfile-client.cnf

# 删除多余文件
rm -f -v client.csr server.csr extfile.cnf extfile-client.cnf 
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

Step2:添加执行权限&执行脚本生成证书

​​在这里插入图片描述

Step3:配置docker.service

​​在这里插入图片描述

Step4:重启docker.service

#刷新配置
systemctl daemon-reload
#重启docker
systemctl restart docker.service

Step5:测试

在这里插入图片描述

JDBogdan
关注
[漏洞修复]Docker Remote API DetectionDocker远程API检测
水布天
03-04 1287
Docker Remote API DetectionDocker远程API检测背景等级验证方法修复步骤制作证书及秘钥配置Docker支持TLS 背景 为了更便捷地打包和部署,服务器需要开放2375端口才能连接docker,但如果开放了端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,任何知道你IP的人,都可以管理这台主机上的容器和镜像,非常不安全。 为了解决安全问题,只要使用安全传输层协议(TLS)进行传输并使用CA认证即可。 等级 极危 验证方法 在局域网内的任意主机上
Docker Remote API 越权漏洞
人猿进化论
12-06 737
Docker Remote API 漏洞
Docker Unauthorized Access
weixin_30865427的博客
07-11 783
1 #POC 2 3 #-*-coding:utf-8-*- 4 5 import requests 6 7 def verify(protocol,ip,port): 8 url = protocol+'://'+ip+':'+str(port) 9 print('testing if docker remo...
docker internet access
u013226430的博客
03-20 136
127 First thing to check is run cat /etc/resolv.conf in the docker container. If it has an invalid DNS server, such as nameserver 127.0.x.x, then the container will not be able to resolve the domain names into ip addresses, so ping google.com will fail. Se
access实例_快速熟悉docker常用命令(实例:创建nginx容器
weixin_39581099的博客
11-21 251
docker主要的3个概念:镜像(image)+容器(container)+仓库(repository)docker镜像:概念类似虚拟机的镜像,可以用来创建新的容器docker仓库:docker仓库概念和git类似。docker仓库是用来包含镜像的位置。docker容器:是由docker镜像创建的运行实例。docker容器类似虚拟机,可以执行包含启动,停止,删除等。每个容器间是相互隔离的。容器中...
enable the remote API for dockerd
weixin_30417487的博客
03-29 105
After completing these steps, you will have enabled the remote API for dockerd, without editing the systemd unit file in place: Create a file at/etc/systemd/system/docker.service.d/startup_op...
【Linux】Ubuntu 环境下安装 Docker
xiaojye的博客
12-23 990
Ubuntu 环境下安装 Docker 教程
WARNING: Access to the remote API on a privileged Docker daemon is equivalent to root access on the host. Refer to the 'Docker daemon attack surface' documentation for details: https://docs.docker.com/go/attack-surface/ 这个提示什么意思?
07-16
这个警告意味着在特权模式下访问远程 Docker 守护程序的API等同于在主机上拥有 root 访问权限。在 Docker 守护程序的攻击面文档中有详细的说明,您可以在这里找到:https://docs.docker.com/go/attack-surface/ ...
[root@dsy opt]# docker info | grep -A 2 "Registry Mirrors" WARNING: API is accessible on http://0.0.0.0:4243 without encryption. Access to the remote API is equivalent to root access on the host. Refer to the 'Docker daemon attack surface' section in the documentation for more information: https://docs.docker.com/engine/security/security/#docker-daemon-attack-surface Registry Mirrors: https://docker.mirrors.ustc.edu.cn/ Live Restore Enabled: false
最新发布
07-20
`docker info` 命令可以显示当前 Docker 引擎的系统范围信息,包括与注册表(Registry)相关的配置,例如 `registry-mirrors` 和 `insecure-registries` 的设置。通过这些信息,可以检查 Docker 的镜像仓库配置及其...
记一次docker报错 Failed to start LSB: Create lightweight, portable, self-sufficient containers..
banliyaoguai的博客
08-14 1816
如果无法访问就挂一个代理,ubuntu有个工具proxychains,下载proxychains后,在这里/etc/proxychains.conf配置代理,将你的代理添加到最后一行。今天安装docker后安装了一下docker-compose,然后发现docker无法启动了查看一下报错日志。使用代理执行这个刚刚下载下来的东西,因为在执行的时候会访问一些网站需要代理。然后如果想要使用代理的话就在命令前加上proxychains,如下。然后docker就可以正常使用了。经过查询按以下方法解决。
应用容器引擎Docker的基本使用
特立独行的博客
02-13 6078
应用容器引擎Docker的基本使用
docker一键安装脚本(Linux)
爱折腾的技术人
02-27 1513
【代码】docker一键安装脚本(Linux)
docker 一键安装 及 安装 gitlab、Jenkins详细文档。
yhl18931306541的博客
08-26 2401
一键安装docker 及安装 gitlab、Jenkins 详细文档
Linux上搭建meterSphere
m0_60028455的博客
01-07 1424
镜像下载、域名解析、时间同步请点击 阿里云开源镜像站 一、安装Docker (1)安装CentOS Docker curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun执行后效果: [root@localhost base]# curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun # Executing docker install script, c
ubuntu Docker安装和使用
05-27 1423
大家肯定遇到过这种场景,自己开发的程序在开发环境上运行一切正常,但是拿到生产环境上运行时却出现了很多问题。那怎么解决了? 要彻底解决这样的问题,就要介绍下我们今天的主角了,DockerDocker 是一个开源的应用容器引擎,基于Go 语言并遵从 Apache2.0 协议开源。 Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。 容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 ap..
Docker Daemon API未授权访问到RCE
Fly_鹏程万里
12-24 3314
影响范围 Docker ALL 漏洞类型 未授权访问类 利用条件 REST API外置 漏洞概述 Docker Remote API是一个取代远程命令行界面(RCLI)的REST API,当该接口直接暴漏在外网环境中且未作权限检查时,攻击者可以通过恶意调用相关的API实现远程命令执行 漏洞复现 环境搭建 下载环境 mkdir docker cd docker wget https://raw.githubusercontent.com/vulhub/vulhub/master/d..
dockerdocker-compose使用过程中的疑难杂症【踩坑合集】
阿花的博客
01-20 1万+
一些doker安装使用过程中的小问题
Docker配置文件在Ubuntu中不起作用的解决办法
weixin_34162629的博客
09-04 952
2019独角兽企业重金招聘Python工程师标准>>> ...
docker中部署nginx镜像挂载文件夹和文件并解决出错
热门推荐
YICONGITSME的博客
12-24 4万+
首先拉取镜像 docker pull nginx 首先在宿主机创建要挂载的目录 mkdir -p /data/docker mkdir -p /data/docker/nginx/conf #存放配置文件 首先创建一个测试的nginx 因为不能挂载文件,只能挂载文件夹,所以先在一个test容器中复制一份配置文件。 先复制nginx.conf docker run --nam...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值