事故还原

近日,白泽在使用 docker 的时候,开放了防火墙的端口,以 SSH 方式访问远程服务器的 docker 守护进程(无需使用密钥即可建立连接),随后竟遭到了挖矿木马的攻击,好一顿折腾之后,使用 TLS 证书加密通信才解决了问题。

时间线

完蛋,我被挖矿木马包围了|使用 TLS 连接 Docker_后端

部分腾讯云短信和云服务器安全主机管理后台的截图(失眠.jpg):

完蛋,我被挖矿木马包围了|使用 TLS 连接 Docker_Docker_02

TLS 实践

TLS For Docker:docs.docker.com/engine/secu…

TLS 的主要作用是提供加密、认证和数据完整性,以确保在网络上进行的通信是安全的。下面的实践在你对照复现的时候,白泽建议你同时打开 docker 的文档,一并参考,注意命令格式。

为了允许机器 A 通过 TLS 访问机器 B 上的 Docker,你需要在机器 B 上进行一系列设置,以确保 Docker 守护程序(Docker Daemon)使用 TLS,并为客户端提供相应的证书。

完蛋,我被挖矿木马包围了|使用 TLS 连接 Docker_后端_03

服务端(docker 守护进程对应服务器)配置

一、在 B 机器上生成 CA(Certificate Authority)证书和密钥

openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
  • 生成 rsa 私钥
  • 私钥生成:rsa
  • 私钥位数:4096
  • 加密私钥:aes256(生成过程中会提示输入密码,用于对私钥进行加密,后续使用私钥时也会提示输入这个密码
  • 生成自签名证书(根证书 CA)
  • 格式:x509
  • 签名:使用 sha256 计算 hash 摘要,对摘要使用私钥进行加密,加密的过程就是签名
  • 作用:作为根证书用于对后续 server 和 client 端的证书进行签名

二、生成 Docker 守护程序的未签名证书和密钥

openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=主机名" -sha256 -new -key server-key.pem -out server.csr
  • 创建服务器密钥
  • 生成服务器证书签名请求(CSR)文件:以便后续将其发送给证书颁发机构 (CA) 进行签名,从而得到服务器的证书

三、创建一个扩展属性配置文件(extfile.cnf),用于指定 IP 地址和 DNS 名称

echo subjectAltName = IP:机器B的IP地址,DNS:机器B的DNS名 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
  • 创建一个 extfile.cnf 配置文件,其中包含主题备用名称(subjectAltName)的信息,包括 DNS 名称和 IP 地址。
  • echo extendedKeyUsage = serverAuth >> extfile.cnf:添加一个扩展属性,指定此证书仅用于服务器认证

四、生成 Docker 守护程序的签名证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
    -CAcreateserial -out server-cert.pem -extfile extfile.cnf
  • 使用 CA 的私钥 (ca-key.pem) 和 CA 签名证书 (ca.pem) 对服务器的 CSR (server.csr) 进行签名,生成服务器的证书 (server-cert.pem)。此命令还使用了 extfile.cnf 文件中的配置信息,确保证书包含了正确的主题备用名称和扩展属性。

五、配置 Docker 守护程序

在 Docker 守护程序的启动配置中添加 TLS 相关的参数:

dockerd \
    --tlsverify \
    --tlscacert=ca.pem \
    --tlscert=server-cert.pem \
    --tlskey=server-key.pem \
    -H=0.0.0.0:2376

防火墙配置: 如果机器 B 上有防火墙,确保允许来自机器 A 的流量通过 2376 端口。

🌟 Note:此时已经完成了服务端的配置,接下来需要在服务端上,借助根证书 CA,类似的生成客户端使用的证书,再将其拷贝到客户端机器上,即可使用 TLS 连接服务端 docker。

客户端配置

客户端的证书的生成和配置是类似的,这里简单罗列命令,不做重复解释。

  • 生成客户端私钥
openssl genrsa -out key.pem 4096
  • 创建客户端证书签名请求 (CSR)
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
  • 创建客户端证书扩展配置文件
echo extendedKeyUsage = clientAuth > extfile-client.cnf
  • 生成签名的客户端证书
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf
  • 在机器 B 上使用 docker 客户端连接到机器 B 的 docker 守护进程,并成功打印 docker version(后续只需要将客户端证书拷贝至 A 机器上即可实现安全的 TLS 连接
docker --tlsverify \
    --tlscacert=ca.pem \
    --tlscert=cert.pem \
    --tlskey=key.pem \
    -H=机器B的IP地址:2376 version

安全性工作

  • 设置文件访问权限
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
  • 清理临时文件
rm -v client.csr server.csr extfile.cnf extfile-client.cnf
  • 方便使用 docker(通过这种方式就不用每次连接都指定客户端证书的路径了)
mkdir -p ~/.docker
cp -v {ca,cert,key}.pem ~/.docker
export DOCKER_HOST=tcp://82.156.171.8:2376 DOCKER_TLS_VERIFY=1

当然只通过 export 配置环境变量只在当前会话生效,你需要在额外的配置文件中进行声明,这是 gpt 的回答:

完蛋,我被挖矿木马包围了|使用 TLS 连接 Docker_后端_04

参考文献

结语

本次事故,让我意识到服务器安全的重要性,每次被迫重装系统需要做很多数据备份迁移工作,服务也被迫暂停。平日维护服务器,更应当预防为主,做好规划,降低出错带来的恢复成本。

公众号 「白泽talk」