docker开启TLS远程访问 2376

原创 已于 2022-08-10 10:42:13 修改 · 2.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #linux #运维

于 2022-07-18 16:24:59 首次发布
本文指导如何关闭Docker的2375端口,防止非安全远程连接,并通过编写shell脚本生成SSL证书,以2376端口启用TLS加密连接。详细步骤包括修改docker.service配置文件,添加安全参数,并展示客户端如何使用Portainer进行安全连接。

1.关闭2375端口

原先为了进行调试,开启了2375端口,用portainer非安全远程连接,现在得关闭。
打开 /usr/lib/systemd/system/docker.service
找到ExecStart=/usr/bin/dockerd -H fd:// -H tcp://0.0.0.0:2375 --containerd=/run/containerd/containerd.sock这一行
-H tcp://0.0.0.0:2375删除

2.编写shell脚本,命名为docker_cert.sh

这段shell使用了Docker使用SSL证书加密远程连接的cert脚本。具体使用时,需修改IP为自己服务器相应的IP,修改证书密码和证书放置路径。

#!/bin/sh
ip=docker所在服务器ip
password=wSfn%zgX$7pDsZsQ
dir=/root/docker/cert

if [ ! -d "$dir" ];then
echo ""
echo "$dir , not dir , will create"
echo ""
mkdir -p $dir
else
echo ""
echo "$dir , dir exist , will delete and create"
echo ""
rm -rf $dir
mkdir -p $dir
fi
 
cd $dir
# 创建根证书RSA私钥
openssl genrsa -aes256 -passout pass:$password  -out ca-key.pem 4096
# 创建CA证书
openssl req -new -x509 -days 365 -key ca-key.pem -passin pass:$password -sha256 -out ca.pem -subj "/C=NL/ST=./L=./O=./CN=$ip"
# 创建服务端私钥
openssl genrsa -out server-key.pem 4096
# 创建服务端签名请求证书文件
openssl req -subj "/CN=$ip" -sha256 -new -key server-key.pem -out server.csr
 
echo subjectAltName = IP:$ip,IP:0.0.0.0 >> extfile.cnf
 
echo extendedKeyUsage = serverAuth >> extfile.cnf
# 创建签名生效的服务端证书文件 
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out server-cert.pem -extfile extfile.cnf
# 创建客户端私钥
openssl genrsa -out key.pem 4096
# 创建客户端签名请求证书文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
 
echo extendedKeyUsage = clientAuth >> extfile.cnf
 
echo extendedKeyUsage = clientAuth > extfile-client.cnf
# 创建签名生效的客户端证书文件
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out cert.pem -extfile extfile-client.cnf
# 删除多余文件
rm -f -v client.csr server.csr extfile.cnf extfile-client.cnf
 
chmod -v 0400 ca-key.pem key.pem server-key.pem
 
chmod -v 0444 ca.pem server-cert.pem cert.pem

备注:删除多余文件后,该目录下剩余:
ca.pem CA机构证书
ca.srl
ca-key.pem 根证书RSA私钥
cert.pem 客户端证书
key.pem 客户私钥
server-cert.pem 服务端证书
server-key.pem 服务端私钥

给脚本赋权限,并执行脚本生成证书。

chmod +x docker_cert.sh
./docker_cert.sh

3.重点的来了,修改docker.service配置文件

再次打开/usr/lib/systemd/system/docker.service
再次找到ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock这一行,在这一行的末尾添加一个空格和一个\,如下:

ExecStart=/usr/bin/dockerd -H fd://  --containerd=/run/containerd/containerd.sock \

然后在下一行添加以下内容

--tlsverify \
--tlscacert=/root/docker/cert/ca.pem \
--tlscert=/root/docker/cert/server-cert.pem \
--tlskey=/root/docker/cert/server-key.pem \
-H tcp://0.0.0.0:2376 \
-H unix:///var/run/docker.sock

备注:此处指定了ca证书、服务端证书和服务端密钥,端口设置为:2376(docker默认端口)

刷新配置,重启Docker,并查看2376是否已侦听

systemctl daemon-reload && systemctl restart docker 
netstat -tunlp

如果提示netstat:未找到命令,需安装net-tools

最后一步,客户端连接

此处我是直接用portainer连接了,将ca.pem cert.pem key.pem导出,然后在portainer的Endpoints中添加节点
在这里插入图片描述

如何为Docker配置TLS加密通信(2376端口)?
weixin_39291964的博客
07-13 375
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=tcp://服务器IP:2376 ps。openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -subj “/CN=你的域名或IP” -out ca.pem。docker -H tcp://服务器IP:2376 --tlsverify info # 返回Docker系统信息。
docker+idea+TLSdocker开启TLS保护的安全远程连接,idea远程连接docker
szw-yunie的博客
05-25 2456
写在最前面 官网文档 关于docker如何开启远程连接,以及如何使用“内置的 HTTPS 加密套接字”来安全连接,docker官网上有非常详细的英文介绍,本文关于这部分的内容也大致上是官网文档的翻译。 参见: dockerd的命令行选项 使用TLS (HTTPS)保护Docker守护进程套接字 Docker Engine 客户端与服务端之间的通信 我们知道 Docker Engine 是一个客户端-服务器型的应用程序。dockerd作为一个守护进程在后台长时间运行(所以有时候也说是docker daem
docker开启TLS远程连接
mxrain的博客
06-21 610
最近在研究cicd jenkins 需要连接阿里云服务器的docker 2375端口, 这里用TLS方式连接docker服务 一、制作证书(docker服务的机器) 建立证书存放位置 创建CA证书私钥 创建服务端私钥 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0
Docker开启安全的TLS远程连接
qq_36284689的博客
06-18 741
目录1.1 不安全的远程访问方式1.1.1 编辑docker.service文件:1.1.2 重新加载Docker配置生效1.1.3 警告!2.1 建立基于TLS数字签名的安全连接1.1 不安全的远程访问方式 1.1.1 编辑docker.service文件: vi /usr/lib/systemd/system/docker.service 找到 [Service] 节点,修改 ExecSta...
60、Python网络编程:TLS、协议模块与URL访问全解析(上)
最新发布
ss78901的博客
10-27 26
本文深入解析了Python网络编程中的核心内容,涵盖TLS安全通信、SSLContext配置、电子邮件协议(SMTP/POP3)的使用方法,以及通过urllib模块进行URL资源访问的完整流程。文章还介绍了Python标准库与第三方包在协议支持方面的差异,并提供了客户端与服务器端的安全套接字封装示例,帮助开发者构建安全、高效的网络应用。
Docker暴露2375端口导致服务器被攻击问题及解决方法
09-29
主要介绍了Docker暴露2375端口导致服务器被攻击问题及解决方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
docker配置2376端口
xwnxwn的专栏
06-17 1181
也就是你接下来要允许那些ip可以连接到服务器的docker,因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的,因此,docker官方推荐使用加密的tcp连接,以Https的方式与客户端建立连接。
Docker开放远程安全访问(开启2376端口和CA认证)
guochengabcd的博客
08-11 1261
Docker开放远程安全访问(开启2376端口和CA认证)
Docker系列:docker开启远程加密访问,并使用Portainer远程管理
落叶
07-23 641
现在 Docker 作为一种轻量级的容器化技术,已经被广泛应用于开发、测试和生产环境。为了更方便地管理 Docker 容器,有时候我们需要远程访问 Docker 守护进程,例如:Portainer 远程管理容器的时候。但是,远程访问会带来安全风险,因此开启加密的远程访问显得尤为重要。本篇博客将详细介绍如何开启 Docker 加密的远程访问,并且使用 Portainer 远程连接 Docker
Docker开启远程安全访问的图文教程详解
09-29
本教程将详细解释如何安全地开启Docker远程访问功能。 ### 第一步:编辑`docker.service`文件 在Linux系统中,Docker服务的配置存储在`/usr/lib/systemd/system/docker.service`文件中。我们需要编辑这个文件,...
docker配置TLS 2376
白_的博客
02-18 1196
1 复制执行shell脚本,只需改动SERVER即可 #创建 Docker TLS 证书 #!/bin/bash #相关配置信息 # docker主机IP SERVER="ip" # 密码 PASSWORD="2cx&BUjsV4u%3Tz9" # 国家 COUNTRY="CN" # 省份 STATE="广东省" # 城市 CITY="深圳市" # 机构名称 ORGANIZATION="白的公司" # 机构单位 ORGANIZATIONAL_UNIT="白的单位" # 邮箱 EMAIL="lius
Docker启用TLS实现安全配置的步骤
01-10
前言 之前开启docker的2375 Remote API,接到公司安全部门的要求,需要启用授权,翻了下官方文档 Protect the Docker daemon socket 启用TLSdocker服务器,生成CA私有和公共密钥 $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..................................................................................
docker开启2376端口CA认证
qq_20161461的博客
09-27 666
Docker CA认证 1、创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2、创建密码 需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3、依次输入密码、国家、省、市、组织名称等 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 4、生成server-key.pem opens
docker开启2376端口CA认证及IDEA中一键部署docker项目
qq_36984017的博客
07-09 451
docker开启2376端口CA认证及IDEA中一键部署docker项目 Docker CA认证 1、创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2、创建密码-需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3、依次输入密码、国家、省、市、组织名称等 openssl req -new -x509 -days 365 -key ca-key.pem -sha256
docker 服务器engin开放2376端口给pycharm连接
weixin_33898233的博客
11-27 288
2019独角兽企业重金招聘Python工程师标准>>> ...
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5362
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
Docker开启TLS认证
qq_35156626的博客
12-21 899
修复Docker远程API调用漏洞,启用TLS认证
centos7 docker开启认证的远程端口2376配置教程
热门推荐
新林的博客
05-17 1万+
- docker开启2375会存在安全漏洞 暴露了2375端口Docker主机。因为没有任何加密和认证过程,知道了主机IP以后,,任何人都可以管理这台主机上的容器和镜像,以前贪图方便,只开启了没有认证的docker2375端口,后来被黑客通过这个端口上了一个挖矿木马病毒的镜像并运行,所以非测试开发环境的话,还是要开启需要安全认证的tcp端口 - docker开启非认证的端口看这篇文章 https://blog.youkuaiyun.com/u012946310/article/details/8231
docker desktop 开启远程访问
03-31
### 配置 Docker Desktop 启用远程访问功能 要在 Windows 或 Mac 上配置 Docker Desktop 以启用远程访问功能,可以按照以下方式操作: #### 1. **Windows 系统上的 Docker Desktop 远程访问** 在 Windows 系统上运行的 Docker Desktop 默认仅允许本地访问容器环境。如果希望从其他设备通过 IP 地址连接到该主机上的 Docker 实例,则需要手动调整其设置。 - 打开 Docker Desktop 的设置界面,在“General”选项卡中找到关于 API 访问的部分。 - 将 `Expose daemon on tcp://localhost:2375` 设置为开启状态[^1]。这一步会暴露 Docker 守护进程至指定端口(默认为 2375),从而允许外部程序或机器尝试建立 TCP/IP 连接来管理此实例中的镜像和服务资源。 需要注意的是,默认情况下未加密传输可能存在安全隐患;因此建议进一步研究 TLS 加密机制应用于生产环境中保护通信链路的安全性。 #### 2. **MacOS 下 Docker Desktop 开启本地远程访问** 对于 macOS 用户来说,除了图形化界面上的操作外还需要额外完成一些命令行工作才能完全激活所需的特性: - 使用 Homebrew 来安装 CLI 工具包以便更好地集成开发流程:`/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"`,接着执行`brew install docker-completion`. - 修改 ~/.zshrc 文件加入路径变量 export PATH=/usr/local/bin:$PATH. - 接下来重新加载 shell session或者source一下刚才编辑过的profile文件即可立即应用新的改动效果. 最后回到 Docker Desktop 应用本身,进入Preferences->Resources->Network板块勾选Enable swarm mode alongside Kubernetes and other services running inside containers...这一项之后保存退出再回来确认是否已经成功开启了tcp监听模式[^2]. #### 3. **Linux (CentOS为例)** 如果是基于 Linux 发行版如 CentOS ,则可能涉及到更多底层系统的参数调节过程 : - 编辑 /etc/systemd/system/docker.service.d/override.conf 添加如下内容: ```ini [Service] ExecStart= ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375 ``` 上述指令里的 `-H tcp://0.0.0.0:2375` 参数即表示接受来自任何网络接口发起的要求处理请求的服务绑定地址与端口号组合形式[^4]. - 刷新 systemd 配置缓存并重启服务使修改生效 : ```bash sudo systemctl daemon-reload sudo systemctl restart docker ``` 另外还需注意检查本机防火墙策略是否有阻碍正常的数据交换行为发生 ,可以通过firewall-cmd命令添加例外规则解除封锁状况. --- ### 总结 无论在哪种操作系统平台上部署 Docker Desktop 并打算开放它的远程接入能力时都需要仔细权衡便利性和安全性之间的关系 。以上介绍的方法分别适用于不同类型的计算平台场景需求分析后选取最适合自己实际情况的技术方案实施改造升级作业 。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值