docker 加密文件系统 docker程序加密

转载

mob64ca1400bfa8 2024-04-11 21:15:24

文章标签 docker 加密文件系统 docker tls docker tls加密 docker安全 文章分类 Docker 云计算

文章目录

一：Docker-TLS加密通讯部署

1.1：什么是TLS？作用是什么？
1.2：为什么要使用TLS加密
1.3：部署TLS加密
1.4：检查容器创建模板的内容的方式

一：Docker-TLS加密通讯部署

1.1：什么是TLS？作用是什么？

TLS（Transport Layer Security Protocol）：传输层安全性协议，其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。
TLS协议采用主从式架构模型，用于在两个应用程序间透过网络创建起安全的连线，防止在交换数据时受到窃听及篡改
TLS协议的优势是与高层的应用层协议（如HTTP、FTP、Telnet等）无耦合。应用层协议能透明地运行在TLS协议之上，由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密，从而保证通信的私密性。

1.2：为什么要使用TLS加密

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击，c/s 两端应该通过加密方式通讯。

1.3：部署TLS加密

环境需求

主机	IP地址	所需环境
master	20.0.0.111	docker-ce
client	20.0.0.112	docker-ce

环境优化

[root@localhost ~]# hostnamectl set-hostname master   ###修改主机名
[root@localhost ~]# su
[root@master ~]# vi /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
20.0.0.111 master    
20.0.0.112 client    ###解析地址

[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# vi /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
20.0.0.111 master
20.0.0.112 client

master服务器创建CA密码与CA证书

[root@master ~]# mkdir TLS
[root@master ~]# cd TLS/
[root@master TLS]# ls
[root@master TLS]# openssl genrsa -aes256 -out ca-key.pem 4096   '//使用rsa非对称秘钥，位数256位，-out 输出密钥文件ca-key.pem'
Generating RSA private key, 4096 bit long modulus
.........................................................++
.................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:  //输入自定义密码123456
Verifying - Enter pass phrase for ca-key.pem:   //确认密码
[root@master TLS]# ls
ca-key.pem   //ca密码文件创建成功
[root@master TLS]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem  //创建ca证书
Enter pass phrase for ca-key.pem:  //输入ca密码：123456
//subj 项目名称，new 新请求，x509 输出一个x509结构，而不是cert. req，days 由-x509生成的证书的有效天数。
[root@master TLS]# ls
ca-key.pem  ca.pem   //ca证书创建成功

在master服务器上创建服务器与客户端节点证书

通过在服务端上创建tls密钥证书，再下发给客户端，客户端通过私钥访问容器，这样就保证的docker通讯的安全性
CA证书只是一个官方认证的证书，接下来要创建server、client节点的证书，此时创建证书有三步：
1.设置私钥确保安全加密
2.私钥签名确保身份真实不可抵赖
3.制作证书
csr是一个签名文件

[root@master TLS]# openssl genrsa -out server-key.pem 4096  //创建服务器秘钥
Generating RSA private key, 4096 bit long modulus
...........................++
.++
e is 65537 (0x10001)
[root@master TLS]# ls
ca-key.pem  ca.pem  server-key.pem
[root@master TLS]# openssl req -new -key server-key.pem -sha256 -subj "/CN=*" -out server.csr   //基于服务端秘钥文件生成csr签名文件
[root@master TLS]# ls
ca-key.pem  ca.pem  server.csr  server-key.pem
[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem  //使用ca证书与私钥证书签名，导入签名ct.csr,指定CA文件和密钥文件，确定官方授权。输入自定义密码123456
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  server-cert.pem  server.csr  server-key.pem
[root@master TLS]# openssl genrsa -out client-key.pem 4096   //生成客户端密钥
Generating RSA private key, 4096 bit long modulus
................................++
..........++
e is 65537 (0x10001)
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client-key.pem  server-cert.pem  server.csr  server-key.pem
[root@master TLS]# openssl req -subj "/CN=client" -new -key client-key.pem -out client.csr   /生成客户端签名文件
[root@master TLS]# ls
ca-key.pem  ca.srl      client-key.pem   server.csr
ca.pem      client.csr  server-cert.pem  server-key.pem
[root@master TLS]# echo extendedKeyUsage=clientAuth > extfile.cnf   //创建配置文件
[root@master TLS]# ls
ca-key.pem  ca.srl      client-key.pem  server-cert.pem  server-key.pem
ca.pem      client.csr  extfile.cnf     server.csr
[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem -extfile extfile.cnf   //基于ca证书，ca秘钥生成签名证书
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client-cert.pem  client.csr  client-key.pem  extfile.cnf  server-cert.pem  server.csr  server-key.pem
[root@master TLS]# rm -rf ca.srl client.csr extfile.cnf server.csr '//删除多余文件'
[root@master TLS]# ls
ca-key.pem  ca.pem  client-cert.pem  client-key.pem  server-cert.pem  server-key.pem

配置docker

[root@server TLS]# vim /usr/lib/systemd/system/docker.service 
//找到ExecStart修改成以下配置
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/TLS/ca.pem --tlscert=/root/TLS/server-cert.pem --tlskey=/root/TLS/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
[root@server TLS]# systemctl daemon-reload
[root@server TLS]# systemctl restart docker
[root@master TLS]# netstat -natp | grep docker
tcp6       0      0 :::2376                 :::*                    LISTEN      49979/dockerd       
[root@master TLS]# setenforce 0

将client主机所需文件复制过去

[root@master TLS]# scp ca.pem root@20.0.0.112:/etc/docker
The authenticity of host '20.0.0.112 (20.0.0.112)' can't be established.
ECDSA key fingerprint is SHA256:Vxy4zHvwk81l+PWPJmRA7hPBx9ygvOOkGCaslE9sAHk.
ECDSA key fingerprint is MD5:46:25:e5:0b:d7:14:7d:4d:2e:28:99:0a:fd:4e:07:31.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '20.0.0.112' (ECDSA) to the list of known hosts.
root@20.0.0.112's password: 
ca.pem                                                     100% 1765   953.6KB/s   00:00    
[root@master TLS]# scp client* root@20.0.0.112:/etc/docker/
root@20.0.0.112's password: 
client-cert.pem                                            100% 1696   732.8KB/s   00:00    
client-key.pem                                             100% 3243     3.9MB/s   00:00

本地验证

[root@master TLS]# docker --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H tcp://master:2376 images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
httpd               latest              3dd970e6b110        5 weeks ago         138MB

client节点指定加密文件远程调用测试

[root@client ~]# cd /etc/docker/
[root@client docker]# ls
ca.pem  client-cert.pem  client-key.pem  daemon.json  key.json
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=client-cert.pem --tlskey=client-key.pem -H tcp://master:2376 images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
httpd               latest              3dd970e6b110        5 weeks ago         138MB

1.4：检查容器创建模板的内容的方式

2016 年的 8 月 Github 上大量泄露个人或企业各种账号密码，出现这种问题一般都使用 dockerfile 或者 docker-compose 文件创建容器。如果这些文件中存在账号密码等认证信息，一旦 Docker 容器对外开放，则这些宿主机上的敏感信息也会随之泄露。
可通过以下方式检查容器创建模板的内容

# check created users 
grep authorized_keys $dockerfile 
# check OS users 
grep "etc/group" $dockerfile 
# Check sudo users 
grep "etc/sudoers.d" $dockerfile 
# Check ssh key pair 
grep ".ssh/.*id_rsa" $dockerfile 
# Add your checks in below

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。