一、Docker存在的安全问题
1、Docker 自身漏洞
作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。
黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。
2、Docker 源码问题
Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。但同时也带来了一些安全问题。例如下面三种方式:
黑客上传恶意镜像
如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
镜像使用在有漏洞的软件
Docker hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。
中间人攻击篡改镜像
镜像在传输过程中可能被篡改,目前现版本的 Docker 已经提供了相应的校验机制类预防这个问题。
3、Docker 架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发动攻击。
容器之间的局域网攻击
主机上的容器之间可以构成局域网,因此对局域网的 ARP 欺骗、嗅探、广播风暴等攻击方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。
DDoS 攻击耗尽资源
Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源,即可避免此类问题
有漏洞的系统调用
Docker 与虚拟机的一个重要的区别就是 Docker 与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管 Docker 使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。
共享 root 用户权限
如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机 root 权限。
二、TLS安全加密流程
3.1 实验环境
服务器名字 | IP地址 |
---|---|
master | 20.0.0.12 |
client | 20.0.0.16 |
3.2 实验操作
3.2.1 master服务器
[root@localhost ~]# hostnamectl set-hostname master
[root@localhost ~]# su
[root@master ~]#
[root@master ~]# mkdir tls
[root@master ~]# cd tls
(1).创建ca密钥
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...........................................................++
.......................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: ##设置密钥123123
Verifying - Enter pass phrase for ca-key.pem: ##再次输入
[root@master tls]# ll
总用量 4
-rw-r--r--. 1 root root 3326 12月 3 06:27 ca-key.pem
(2).创建ca证书
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:
[root@master tls]# ll
总用量 8
-rw-r--r--. 1 root root 3326 12月 3 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 06:28 ca.pem
(3).创键服务器私钥
[root@master tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............++
..................................................................................++
e is 65537 (0x10001)
[root@master tls]# ll
总用量 12
-rw-r--r--. 1 root root 3326 12月 3 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 06:28 ca.pem
-rw-r--r--. 1 root root 3243 12月 3 06:29 server-key.pem
(4).创建签名私钥
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
[root@master tls]# ll
总用量 16
-rw-r--r--. 1 root root 3326 12月 3 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 06:28 ca.pem
-rw-r--r--. 1 root root 1574 12月 3 06:30 server.csr
-rw-r--r--. 1 root root 3243 12月 3 06:29 server-key.pem
(5).使用ca证书与私钥证书签名
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@master tls]# ll
总用量 24
-rw-r--r--. 1 root root 3326 12月 3 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 06:28 ca.pem
-rw-r--r--. 1 root root 17 12月 3 06:32 ca.srl
-rw-r--r--. 1 root root 1647 12月 3 06:32 server-cert.pem
-rw-r--r--. 1 root root 1574 12月 3 06:30 server.csr
-rw-r--r--. 1 root root 3243 12月 3 06:29 server-key.pem
(6).生成客户端密钥
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
...............................................................................................++
.......................................................................++
e is 65537 (0x10001)
[root@master tls]# ll
总用量 28
-rw-r--r--. 1 root root 3326 12月 3 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 06:28 ca.pem
-rw-r--r--. 1 root root 17 12月 3 06:32 ca.srl
-rw-r--r--. 1 root root 3243 12月 3 07:29 key.pem
-rw-r--r--. 1 root root 1647 12月 3 06:32 server-cert.pem
-rw-r--r--. 1 root root 1574 12月 3 06:30 server.csr
-rw-r--r--. 1 root root 3243 12月 3 06:29 server-key.pem
(7).签名客户端
[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
[root@master tls]# ll
总用量 32
-rw-r--r--. 1 root root 3326 12月 3 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 06:28 ca.pem
-rw-r--r--. 1 root root 17 12月 3 06:32 ca.srl
-rw-r--r--. 1 root root 1582 12月 3 07:30 client.csr
-rw-r--r--. 1 root root 3243 12月 3 07:29 key.pem
-rw-r--r--. 1 root root 1647 12月 3 06:32 server-cert.pem
-rw-r--r--. 1 root root 1574 12月 3 06:30 server.csr
-rw-r--r--. 1 root root 3243 12月 3 06:29 server-key.pem
(8).创建配置文件
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
(9).签名证书,需要(签名客户端,ca证书,ca密钥)
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem: ##输入密码123123
(10).删除多余文件
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr
(11).配置docker
[root@master tls]# vim /lib/systemd/system/docker.service ##修改第14行
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/root/tls/ca.pem --tlscert=/root/tls/server-cert.pem --tlskey=/root/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
[root@master tls]# systemctl daemon-reload
[root@master tls]# systemctl restart docker
[root@master tls]# netstat -ntap |grep 2376
tcp6 0 0 :::2376 :::* LISTEN 69715/dockerd
(12)将/tsl/ca.pem /tsl/cert.pem /tsl/key.pem 三个文件复制到客户端
[root@server tls]# scp ca.pem root@20.0.0.16:/etc/docker
The authenticity of host '20.0.0.16 (20.0.0.16)' can't be established.
ECDSA key fingerprint is SHA256:q1+6BoUNZicbliBzRQvFgHLIyA0LNnj8QrHXo02EohU.
ECDSA key fingerprint is MD5:15:e0:dc:c6:8f:23:fa:e2:55:9b:0a:3d:bd:f1:36:ab.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '20.0.0.16' (ECDSA) to the list of known hosts.
root@20.0.0.16's password:
ca.pem 100% 1765 1.0MB/s 00:00
[root@server tls]# scp cert.pem root@20.0.0.16:/etc/docker
root@20.0.0.16's password:
cert.pem 100% 1655 774.8KB/s 00:00
[root@server tls]# scp key.pem root@20.0.0.16:/etc/docker
root@20.0.0.16's password:
key.pem 100% 3243 1.3MB/s 00:00
(13).客户端查看
[root@client ~]# cd /etc/docker
[root@client docker]# ll
总用量 20
-rw-r--r--. 1 root root 1765 12月 3 07:46 ca.pem
-rw-r--r--. 1 root root 1655 12月 3 07:47 cert.pem
-rw-r--r--. 1 root root 67 11月 25 03:50 daemon.json
-rw-------. 1 root root 244 11月 25 03:29 key.json
-rw-r--r--. 1 root root 3243 12月 3 07:47 key.pem
客户机:
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# vim /etc/hosts ##映射主机名和IP
20.0.0.12 master
3.3 实验测试
1,在主服务器下载镜像
[root@server tls]# docker pull nginx
[root@server tls]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest bc9a0695f571 8 days ago 133MB
客户机验证
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 images
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest bc9a0695f571 8 days ago 133MB
2,在客户机创建容器
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem --tlscert=cert.pem -H tcp://master:2376 create -it nginx:latest /bin/bash
f3bf5c4aaa07419723502fe1a67336136f6fd9742b8f7df1b7ecebe0b6d7915f
[root@client docker]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
服务器验证
[root@master ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
f3bf5c4aaa07 nginx:latest "/docker-entrypoint.…" About a minute ago Created elated_feynman