docker TLS加密配置,IDEA远程2376连接

唔贝
1,500 阅读4分钟

起因

  • 阿里云服务器部署docker应用,开放了2375端口,没做任何IP限制,导致服务上线之后被挖矿程序攻击,一开始没那么在意,导致后来cpu一直100%,本来的程序运行都有问题了,还出现了其他病毒,实在没辙,直接把服务器云盘初始化了,重新部署之后还是出现了类似的问题,之前是在对docker安全性问题没怎么关注,后来偶然间看到了docker挖矿的帖子,突然想到了我的2375端口确实暴露在外的,所以搜了下docker安全性的问题,可以通过TLS加密,使用证书登录的方式

解决(请看到最后,你不会后悔的)

linux版本是ubuntu18.04

  • TLS加密首先取docker官网找了找相关信息docs.docker.com/engine/secu…,照着对应的操作步骤应该是可以搞定的,但是人总是懒得,直接搜到了网友们整理的脚本,直接执行即可
  • 脚本如下,此脚本可以放到/etc/docker/tls目录下,没有tls目录的话可以自己创建一个
#创建 Docker TLS 证书
#!/bin/bash

#相关配置信息
SERVER="IP地址"
PASSWORD="自己设置密码"
COUNTRY="CN"  ##地区码可以随便填
STATE="JS"   ##地区码可以随便填
CITY="SZ"  ##地区码可以随便填
ORGANIZATION="org"   ##自定义随便填
ORGANIZATIONAL_UNIT="org"  ##自定义随便填
EMAIL=""  ##邮箱随便填

###开始生成文件###
echo "开始生成文件"

#切换到生产密钥的目录,按照上面的脚本目录,新建一个pme目录用来生成加密文件
cd /etc/docker/tls/pem
#生成ca私钥(使用aes256加密)
openssl genrsa -aes256 -passout pass:$PASSWORD  -out ca-key.pem 2048
#生成ca证书,填写配置信息
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"

#生成server证书私钥文件
openssl genrsa -out server-key.pem 2048
#生成server证书请求文件
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr
#配置白名单  你使用的是服务器Ip的话,请将前面的DNS换成IP  echo subjectAltName = IP:$SERVER,IP:0.0.0.0 >> extfile.cnf
sh -c  'echo "subjectAltName = IP:'$SERVER',IP:0.0.0.0" >> extfile.cnf'
sh -c  'echo "extendedKeyUsage = serverAuth" >> extfile.cnf'
#使用CA证书及CA密钥以及上面的server证书请求文件进行签发,生成server自签证书
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial  -out server-cert.pem  -extfile extfile.cnf

#生成client证书RSA私钥文件
openssl genrsa -out key.pem 2048
#生成client证书请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

sh -c 'echo extendedKeyUsage = clientAuth >> extfile.cnf'
#生成client自签证书(根据上面的client私钥文件、client证书请求文件生成)
openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem  -extfile extfile.cnf

#更改密钥权限
chmod 0400 ca-key.pem key.pem server-key.pem
#更改密钥权限
chmod 0444 ca.pem server-cert.pem cert.pem
#删除无用文件
rm client.csr server.csr -rf
echo "生成文件完成"
###生成结束###
  • 生成加密文件之后,需要配置docker.service,由于是ubuntu18,所以需要修改/lib/systemd/system/docker.service,将ExecStart一行修改成如下代码
ExecStart=/usr/bin/dockerd \
        --tlsverify \
        --tlscacert=/etc/docker/tls/pem/ca.pem \
        --tlscert=/etc/docker/tls/pem/server-cert.pem \
        --tlskey=/etc/docker/tls/pem/server-key.pem \
        -H tcp://0.0.0.0:2376 \
        -H unix://var/run/docker.sock

修改完之后重启docker

sudo systemctl daemon-reload
sudo systemctl restart docker

如果按照上述步骤操作的话,docker应该不会报任何错误

  • 接下来配置IDEA
    • 首先把客户端秘钥文件下下来,可以通过filezilla等软件下载,这边可能会遇到一个问题,因为脚本中ca.pem的权限是0400,只有可读权限,没办法下载,所以需要改下ca.pem的权限,到对应目录下执行chmod 0644 ca.pem即可,这样就可以下载了,下载到对应目录
    • 然后打开idea,配置和注意点如下图所示
    • 到这边如果顺利的话就是Connection successful,如果不顺利的话看看服务器2376端口是不是没开,不过大部分人都会出现如下错误docker chanel disconnected before any data was received,回到脚本上的SERVER="IP地址",这边的IP地址一定要填公网IP,但是有人可能会想(这个人就是我),自己内网搭的虚拟机上的docker没有公网IP怎么办,既然都是自己内网的机子了,又不对外,何必要TLS加密呢,也没人能搞你了啊

划重点

  • 下载ca.pem文件的时候会遇到权限问题,chmod 0644 ca.pem即可
  • idea配置的时候需要配置https,端口是2376,这个和docker.service中对应起来
  • docker chanel disconnected before any data was received这个问题应该是最想不到的,搞了我大半天,最后看到这个帖子才得以解决blog.csdn.net/oceanyang52…,看到下面的评论顿时觉得不是我一个人的问题啊!!!
avatar
文章
阅读
粉丝