Docker——TLS加密通讯详解

一、Docker存在的安全问题

1、Docker 自身漏洞
作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。
黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。

2、Docker 源码问题
Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。但同时也带来了一些安全问题。例如下面三种方式:

黑客上传恶意镜像
如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
镜像使用在有漏洞的软件
Docker hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。
中间人攻击篡改镜像
镜像在传输过程中可能被篡改,目前现版本的 Docker 已经提供了相应的校验机制类预防这个问题。

3、Docker 架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发动攻击。

容器之间的局域网攻击
主机上的容器之间可以构成局域网,因此对局域网的 ARP 欺骗、嗅探、广播风暴等攻击方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。

DDoS 攻击耗尽资源
Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源,即可避免此类问题

有漏洞的系统调用
Docker 与虚拟机的一个重要的区别就是 Docker 与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管 Docker 使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。

共享 root 用户权限
如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机 root 权限。

二、TLS安全加密流程

3.1 实验环境

服务器名字IP地址
master20.0.0.12
client20.0.0.16

3.2 实验操作

3.2.1 master服务器

[root@localhost ~]# hostnamectl set-hostname master
[root@localhost ~]# su
[root@master ~]# 
[root@master ~]# mkdir tls
[root@master ~]# cd tls1.创建ca密钥
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...........................................................++
.......................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:    ##设置密钥123123
Verifying - Enter pass phrase for ca-key.pem:    ##再次输入
[root@master tls]# ll
总用量 4
-rw-r--r--. 1 root root 3326 123 06:27 ca-key.pem

(2).创建ca证书
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:
[root@master tls]# ll
总用量 8
-rw-r--r--. 1 root root 3326 123 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 123 06:28 ca.pem

(3).创键服务器私钥
[root@master tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............++
..................................................................................++
e is 65537 (0x10001)
[root@master tls]# ll
总用量 12
-rw-r--r--. 1 root root 3326 123 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 123 06:28 ca.pem
-rw-r--r--. 1 root root 3243 123 06:29 server-key.pem

(4).创建签名私钥
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
[root@master tls]# ll
总用量 16
-rw-r--r--. 1 root root 3326 123 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 123 06:28 ca.pem
-rw-r--r--. 1 root root 1574 123 06:30 server.csr
-rw-r--r--. 1 root root 3243 123 06:29 server-key.pem


(5).使用ca证书与私钥证书签名     
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@master tls]# ll
总用量 24
-rw-r--r--. 1 root root 3326 123 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 123 06:28 ca.pem
-rw-r--r--. 1 root root   17 123 06:32 ca.srl
-rw-r--r--. 1 root root 1647 123 06:32 server-cert.pem
-rw-r--r--. 1 root root 1574 123 06:30 server.csr
-rw-r--r--. 1 root root 3243 123 06:29 server-key.pem

(6).生成客户端密钥
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
...............................................................................................++
.......................................................................++
e is 65537 (0x10001)
[root@master tls]# ll
总用量 28
-rw-r--r--. 1 root root 3326 123 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 123 06:28 ca.pem
-rw-r--r--. 1 root root   17 123 06:32 ca.srl
-rw-r--r--. 1 root root 3243 123 07:29 key.pem
-rw-r--r--. 1 root root 1647 123 06:32 server-cert.pem
-rw-r--r--. 1 root root 1574 123 06:30 server.csr
-rw-r--r--. 1 root root 3243 123 06:29 server-key.pem

(7).签名客户端
[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
[root@master tls]# ll
总用量 32
-rw-r--r--. 1 root root 3326 123 06:27 ca-key.pem
-rw-r--r--. 1 root root 1765 123 06:28 ca.pem
-rw-r--r--. 1 root root   17 123 06:32 ca.srl
-rw-r--r--. 1 root root 1582 123 07:30 client.csr
-rw-r--r--. 1 root root 3243 123 07:29 key.pem
-rw-r--r--. 1 root root 1647 123 06:32 server-cert.pem
-rw-r--r--. 1 root root 1574 123 06:30 server.csr
-rw-r--r--. 1 root root 3243 123 06:29 server-key.pem

(8).创建配置文件
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf


(9).签名证书,需要(签名客户端,ca证书,ca密钥)
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:   ##输入密码123123

(10).删除多余文件
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr


(11).配置docker
[root@master tls]# vim /lib/systemd/system/docker.service     ##修改第14行
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/root/tls/ca.pem --tlscert=/root/tls/server-cert.pem --tlskey=/root/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
[root@master tls]# systemctl daemon-reload 
[root@master tls]# systemctl restart docker
[root@master tls]# netstat -ntap |grep 2376
tcp6       0      0 :::2376                 :::*                    LISTEN      69715/dockerd  

(12)/tsl/ca.pem /tsl/cert.pem /tsl/key.pem 三个文件复制到客户端
[root@server tls]# scp ca.pem root@20.0.0.16:/etc/docker
The authenticity of host '20.0.0.16 (20.0.0.16)' can't be established.
ECDSA key fingerprint is SHA256:q1+6BoUNZicbliBzRQvFgHLIyA0LNnj8QrHXo02EohU.
ECDSA key fingerprint is MD5:15:e0:dc:c6:8f:23:fa:e2:55:9b:0a:3d:bd:f1:36:ab.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '20.0.0.16' (ECDSA) to the list of known hosts.
root@20.0.0.16's password: 
ca.pem                                                          100% 1765     1.0MB/s   00:00    
[root@server tls]# scp cert.pem root@20.0.0.16:/etc/docker
root@20.0.0.16's password: 
cert.pem                                                        100% 1655   774.8KB/s   00:00    
[root@server tls]# scp key.pem root@20.0.0.16:/etc/docker
root@20.0.0.16's password: 
key.pem                                                         100% 3243     1.3MB/s   00:00    


(13).客户端查看
[root@client ~]# cd /etc/docker
[root@client docker]# ll
总用量 20
-rw-r--r--. 1 root root 1765 12月  3 07:46 ca.pem
-rw-r--r--. 1 root root 1655 123 07:47 cert.pem
-rw-r--r--. 1 root root   67 1125 03:50 daemon.json
-rw-------. 1 root root  244 1125 03:29 key.json
-rw-r--r--. 1 root root 3243 123 07:47 key.pem

客户机:
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# vim /etc/hosts    ##映射主机名和IP
20.0.0.12     master 

3.3 实验测试

1,在主服务器下载镜像

[root@server tls]# docker pull nginx
[root@server tls]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
nginx               latest              bc9a0695f571        8 days ago          133MB

客户机验证

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
nginx               latest              bc9a0695f571        8 days ago          133MB

2,在客户机创建容器

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem --tlscert=cert.pem -H tcp://master:2376 create -it nginx:latest /bin/bash 
f3bf5c4aaa07419723502fe1a67336136f6fd9742b8f7df1b7ecebe0b6d7915f
[root@client docker]# docker ps -a
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES

服务器验证

[root@master ~]# docker ps -a
CONTAINER ID        IMAGE               COMMAND                  CREATED              STATUS              PORTS               NAMES
f3bf5c4aaa07        nginx:latest        "/docker-entrypoint.…"   About a minute ago   Created                                 elated_feynman

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值