Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证

DockerRemoteAPI漏洞修复:启用TLS认证与自动化证书生成
原创 已于 2024-03-15 10:56:42 修改 · 3.1k 阅读 · 54 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器 #运维 #java #系统安全

于 2024-03-15 10:53:50 首次发布

Docker Remote API未授权访问漏洞,此API主要目的是取代命令行界面

Dcoker swarm是docker下的分布化应用的本地集群,开放2375监听容器时,会调用这个API,方便的docker集群管理和扩展(绑定在0.0.0.0上,允许所有ip访问)

漏洞确认:可以通过浏览器访问http://ip:2375/

会返回404page not fount

或者访问http://ip:2375/info

会返回docker容器信息

漏洞的攻击过程大家可以网上找一下看看,这类信息网上很多,我就不多说了

漏洞防御方法有以下2种:
  1. 设置ACL,只允许信任的IP端口连接对应端口
  2. 开启TLS,使用生成的证书进行认证

今天主要说的是开启TLS认证方法

利用脚本自动生成证书,脚本(auto-tls-certs.sh)如下:

#!/bin/bash
# 
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------

# 以下是配置信息
# --[BEGIN]------------------------------

IP="10.10.1.1"
PASSWORD="123456"
COUNTRY="CN"
STATE="BEIJING"
CITY="BEIJING"
ORGANIZATION="test"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME="$IP"
EMAIL="test"

# --[END]--

# Generate CA key
openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key.pem" 4096
# Generate CA
openssl req -new -x509 -days 365 -key "ca-key.pem" -sha256 -out "ca.pem" -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL"
# Generate Server key
openssl genrsa -out "server-key.pem" 4096

# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key.pem" -out server.csr

echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "server-cert.pem" -extfile extfile.cnf


# Generate Client Certs.
rm -f extfile.cnf

openssl genrsa -out "key.pem" 4096
openssl req -subj '/CN=client' -new -key "key.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "cert.pem" -extfile extfile.cnf

rm -vf client.csr server.csr

chmod -v 0400 "ca-key.pem" "key.pem" "server-key.pem"
chmod -v 0444 "ca.pem" "server-cert.pem" "cert.pem"

# 打包客户端证书
mkdir -p "tls-client-certs"
cp -f "ca.pem" "cert.pem" "key.pem" "tls-client-certs/"
cd "tls-client-certs"
tar zcf "tls-client-certs.tar.gz" *
mv "tls-client-certs.tar.gz" ../
cd ..
rm -rf "tls-client-certs"

# 拷贝服务端证书
mkdir -p /etc/docker/certs.d
cp "ca.pem" "server-cert.pem" "server-key.pem" /etc/docker/certs.d/

执行以上脚本会在

服务端的证书生成在: /etc/docker/certs.d

客户端证书自动打包为 tls-client-certs.tar.gz

服务端证书生成后,添加到docker.service中

我的docker.service目录在/usr/lib/systemd/system/

执行linux命令:

vi /usr/lib/systemd/system/docker.service

在ExecStart中添加
--tlsverify --tlscacert=/etc/docker/certs.d/ca.pem --tlscert=/etc/docker/certs.d/server-cert.pem --tlskey=/etc/docker/certs.d/server-key.pem \

这个地方路径不要错了,否者docker.service 启动不了

如图:

上面文件编辑保存后执行,以下命令重载配置重启服务:

systemctl daemon-reload
service docker restart

至此:docker API添加了证书认证

 再访问http://ip:2375/info 就返回错误了

客户端通过TLS访问docker API

将tls-client-certs.tar.gz文件发送到客户端,解压到/home目录

在客户端执行请求,参数携带客户端证书路径就可以返回容器信息了:

curl https://ip:2375/info --cert /home/cert.pem --key /home/key.pem --cacert /home/ca.pem

以上就是 Docker 开启TLS,使用生成的证书进行认证

另外记录一个java使用TLS调用docker远程api的方法:

    @Bean
    public DockerClient dockerClient() {
        //本机ip
        String localIp = "127.0.0.1";
        com.github.dockerjava.core.DockerClientConfig config = null;
        if (useTLS) {
            config = DefaultDockerClientConfig.createDefaultConfigBuilder()
                    .withDockerHost("tcp://" + localIp + ":2375")
                    .withDockerTlsVerify(true)
                    .withDockerCertPath("/home/") //客户端证书在服务器上的位置
                    .build();
        } else {
            config = DefaultDockerClientConfig.createDefaultConfigBuilder()
                    .withDockerHost("tcp://" + localIp + ":2375")
                    .withDockerTlsVerify(false)
                    .build();
        }
        DockerHttpClient httpClient = new ApacheDockerHttpClient.Builder()
                .dockerHost(config.getDockerHost())
                .sslConfig(config.getSSLConfig())
                .maxConnections(100)
                .connectionTimeout(Duration.ofSeconds(30))
                .responseTimeout(Duration.ofSeconds(45))
                .build();
        DockerClient dockerClient = DockerClientImpl.getInstance(config, httpClient);
        return dockerClient;
    }

漏洞扫描-Docker Remote API 未授权访问漏洞利用
weixin_44041994的博客
03-15 834
Docker提供了一个用于与Docker守护程序交互的API(称为 Docker 引擎 API)。Docker引擎API是一个RESTful API,可由HTTP客户端(如 wget 或 curl)或HTTP 库访问,HTTP库是大多数现代编程语言的一部分。在网址栏输入 目标主机IP:2375/containers/json可获取该主机的Docker容器信息。使用docker命令创建一个alpine容器,并将目标主机的磁盘挂载到容器中。Docker是一种执行操作系统级虚拟化的计算机程序,也称为"容器化"。
Docker基础教程(225)Docker常用API大全:Docker API大百科:让你的容器乖乖听话的终极秘籍
最新发布
jxf_jxfcsdn的博客
09-24 463
本文深度解析Docker核心API,通过实用表格+真实示例的形式,全面介绍容器、镜像、网络等关键API的使用方法。无论你是想自动化部署还是开发容器管理工具,这些内容都能帮你避开手动操作的繁琐,直接与Docker守护进程"对话"。文章还包含安全配置和最佳实践,助你成为真正的Docker API高手。
未授权访问Docker未授权访问漏洞
qq_68163788的博客
05-14 3659
Docker 是一个开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署包括 VMs、bare metal、OpenStack 集群和其他的基础应用平台DockerDocker Remote API 是一个取代远程命令行界面(rcli)的REST API。 存在问题的版本分别为 1.3 和 1.6因为权限控制等问题导致可以通过 docker client 或者 http 直接请求就可以访问这个 API
Docker 未授权访问漏洞
Thunderclap的博客
07-13 2620
Docker 未授权访问漏洞
Docker未授权API逃逸
qq_69775412的博客
04-19 2465
一、Docker未授权介绍: dockerswarm: docker swarm是一个将docker集群变成单一虚拟的dockerhost工具,使用标准的DockerAPI,能够方便docker集群的管理和扩展,由docker官方提供,具体的大家可以看官网介绍:https://docs.docker.com/engine/swarm/ 漏洞起因: 在使用dockerswarm的时候,发现管理的docker节点上会开放一个tcp端口2375,并且绑定在0.0.0.0上,http访问会返回404p...
Docker Remote API 未授权访问漏洞
weixin_53736204的博客
08-04 803
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展,由docker官方提供。
关于docker remote api未授权访问漏洞的学习与研究
07-16 767
漏洞介绍: 该未授权访问漏洞是因为docker remote api可以执行docker命令,从官方文档可以看出,该接口是目的是取代docker 命令界面,通过url操作dockerdocker swarm是docker下的分布化应用的本地集群,在开放2375监听集群容器时,会调用这个api url输入ip:2375/version就会列出基本信息,和docker vers...
Docker远程接口未授权访问漏洞解决方案Docker Remote API TLS 认证_docker远程接口未授权访问漏洞怎么解决(1)
2401_84973069的博客
05-16 621
我的docker.service目录在/usr/lib/systemd/system/将tls-client-certs.tar.gz文件发送到客户端,解压到/home目录。客户端证书自动打包为 tls-client-certs.tar.gz。这个地方路径不要错了,否者docker.service 启动不了。服务端的证书生成在: /etc/docker/certs.d。以上就是 Docker 开启TLS,使用生成的证书进行认证。至此:docker API添加了证书认证。在ExecStart中添加。
DOCKER REMeOTE API 未授权访问漏洞复现
weixin_43061533的博客
12-01 879
0x01 漏洞简述 Docker Remote API是一个取代远程命令行界面(rcli)的REST API。本文中,我们将使用命令行工具cURL来处理url相关操作。cURL可以发送请求、获取以及发送数据、检索信息。 0x02 风险等级 严漏洞的评定结果如下: 评定方式 等级 威胁等级 严重 影响面 广泛 0x03 漏洞详情 Dockerdocker.service设置为0.0.0.0/lib/systemd/system/docker.service,导致任意访问 Docker没有使用iptables
Docker Remote API未授权访问漏洞以及安全防护
qq_46487664的博客
07-26 1041
设备IP地址操作类型docker版本镜像训练机centos718.03.1-ce靶机Ubuntu24.0.4至少一个容器镜像。
Docker远程访问控制的安全问题(Docker remote api 访问控制)以及Docker-TLS加密通讯 操作测试
weixin_50344807的博客
03-17 2565
文章目录Docker remote api 访问控制客户端操作实现远程调用Docker-TLS加密通讯客户端测试 环境: 名字 ip master 20.0.0.100 client 20.0.0.101 Docker remote api 访问控制 Docker远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问。 监听内网 ip,docker daemon 启动方式如下。 docker -d -H uninx:///var/run/do
Docker Remote API未授权访问漏洞复现
2401_82451607的博客
02-14 973
Docker Remote API未授权访问漏洞复现
漏洞——Docker远程api未授权访问(原理扫描)
龍承leo
10-24 1063
Docker远程api未授权访问(原理扫描)
Docker Remote API TLS 认证_docker远程接口未授权访问漏洞怎么解决
u011042133的专栏
11-05 1504
Docker Remote API 是一个取代远程命令行界面的REST API,其默认绑定2375端口,如管理员对其配置不当可导致未授权访问漏洞。攻击者利用docker client或者http直接请求就可以访问这个API,可导致敏感信息泄露,甚至可进一步利用Docker自身特性,借助容器挂在宿主机进行逃逸,最终完全控制宿主服务器。访问http://目标ip:port/version如果能够访问成功,则证明存在docker api未授权访问漏洞
[Shell]Docker remote api未授权访问漏洞(Port=2375)
baguangman5501的博客
09-16 837
0x01 简介 该未授权访问漏洞是因为docker remote api可以执行docker命令,从官方文档可以看出,该接口是目的是取代docker 命令界面,通过url操作dockerDocker remote Api未授权访问的攻击原理与之前的Redis未授权访问漏洞大同小异,都是通过向运行该应用的服务器写文件,从而拿到服务器的权限。 docker swarm是docker下的分...
【实战案例】从“未上锁的门“到服务器沦陷:Docker Remote API未授权访问漏洞深度解析
水滴石穿
07-30 1302
90%的高危漏洞都源于基础配置错误。就像案例中的企业,可能只是管理员在配置Docker时多写了一行,却为攻击者打开了一扇大门。对于安全小白来说,不需要一开始就掌握复杂的技术,而是要养成"安全配置"的习惯:安装软件后检查默认密码是否修改、开放端口是否必要、权限设置是否合理。这些看似微小的操作,恰恰是抵御大多数攻击的第一道防线。在网络安全的世界里,没有"绝对安全",但永远有"更安全"的选择。从今天开始,检查一下你负责的服务器——那扇"未上锁的门",可能就在某个被忽略的角落。
Docker未授权访问漏洞
qq_50854662的博客
10-18 1764
Docker未授权访问漏洞
Docker Remote API未授权访问漏洞(原理扫描) 如何解决
07-22
<think>首先,用户的问题是:“Docker Remote API未授权访问漏洞(原理扫描)如何解决”,要求用中文回答。 关键点: - **问题主题**:Docker Remote API未授权访问漏洞(原理扫描)的解决方法。 - **要求**:回答完问题后,必须提出3-5个相关问题,以“§§相关问题§§”开头,并在第一行完整输出。禁止换行分散。 - **格式**:回答后直接输出“§§相关问题§§”,然后列出1. 2. 3. 等编号的问题。 现在,回答用户的问题: - **理解问题**:Docker Remote API未授权访问漏洞指的是当Docker守护进程的API暴露在网络上,且没有适当的认证机制时,攻击者可以远程访问并控制Docker容器或主机,导致安全风险。原理扫描可能指的是通过扫描工具检测这种漏洞。 - **解决方法**: 1. **启用TLS认证**:配置Docker守护进程使用TLS证书来加密通信和验证客户端。 2. **限制访问IP**:使用防火墙规则限制访问Docker API的IP地址。 3. **使用认证插件**:启用Docker认证插件,如基于令牌的认证。 4. **绑定到本地接口**:默认情况下,Docker守护进程绑定到本地Unix socket,避免绑定到0.0.0.0(所有接口)。 5. **更新Docker版本**:确保使用最新版本的Docker,以修复已知漏洞。 6. **使用网络策略**:在云环境中,使用安全组或网络ACL限制访问。 回答应该简洁、结构化,但用中文。 然后,提出3-5个相关问题: - 相关问题应基于用户的问题和我的回答,扩展或深化主题。 - 例如: 1. 如何配置Docker TLS认证? 2. Docker未授权访问漏洞有哪些常见利用方式? 3. 如何检测Docker Remote API是否暴露? 4. 除了TLS,还有哪些方法保护Docker API? 5. 原理扫描工具是如何工作的? 确保相关问题数量在3-5个。 最后,输出格式: - 回答内容。 - 然后,第一行是“§§相关问题§§”(完整输出)。 - 接着是编号列表:1. ... 2. ... 3. ... 等。 完整响应结构: 1. 回答用户的问题。 2. “§§相关问题§§” 3. 1. 问题1 2. 问题2 3. 问题3 4. 问题4(可选) 5. 问题5(可选) 现在,草拟回答: - **回答**:Docker Remote API未授权访问漏洞的解决方法包括:启用TLS认证、限制访问IP、绑定到本地接口、使用认证插件和更新Docker版本。具体步骤是配置Docker守护进程的daemon.json文件,添加TLS设置,并使用防火墙限制端口访问。 - **相关问题**: 1. 如何为Docker守护进程配置TLS认证? 2. Docker未授权访问漏洞可能导致哪些安全风险? 3. 如何检测网络上的暴露Docker API? 4. 有哪些工具可以扫描Docker漏洞? 5. 在Kubernetes环境中如何保护Docker API? 确保所有内容用中文。</think>### Docker Remote API未授权访问漏洞(原理扫描)的解决方法 Docker Remote API未授权访问漏洞是指Docker守护进程的API暴露在网络上且未配置认证机制,导致攻击者可远程执行恶意操作(如创建/删除容器、获取敏感信息)。原理扫描通常通过自动化工具(如Nmap、Nessus)检测API是否可匿名访问。以下是主要解决方法: 1. **启用TLS认证**: - 修改Docker守护进程配置文件(如`/etc/docker/daemon.json`),添加TLS设置: ```json { "tls": true, "tlsverify": true, "tlscacert": "/etc/docker/ca.pem", "tlscert": "/etc/docker/server-cert.pem", "tlskey": "/etc/docker/server-key.pem" } ``` - 生成证书:使用`openssl`创建CA和服务器证书,并重启Docker服务(`sudo systemctl restart docker`)。 2. **限制访问IP和端口**: - 使用防火墙(如iptables或ufw)限制Docker API端口(默认2375/2376)的访问来源: ```bash sudo ufw allow from 192.168.1.0/24 to any port 2376 proto tcp # 仅允许特定IP段 sudo ufw deny 2375/tcp # 关闭未加密端口 ``` - 避免绑定到`0.0.0.0`:在`daemon.json`中设置`"hosts": ["unix:///var/run/docker.sock", "tcp://127.0.0.1:2376"]`,确保仅本地或指定接口访问。 3. **使用认证授权插件**: - 启用Docker内置插件(如`authz-broker`)或集成外部工具(如Keycloak),实现基于令牌的认证。 - 在云环境中(如AWS或Azure),配置安全组限制入站流量。 4. **更新和加固Docker环境**: - 升级到最新Docker版本(检查官网修复补丁)。 - 遵循最小权限原则:运行Docker时使用非root用户,并启用SELinux/AppArmor。 5. **定期扫描和监控**: - 使用漏洞扫描工具(如Trivy、Clair)定期检测配置。 - 监控日志(`journalctl -u docker`)查找异常访问。 预防措施:在生产环境中,始终启用TLS并限制网络暴露;测试环境可使用`--tlsverify`参数验证配置。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值