《伸手系列》之Docker開啟2376端口CA認證

前言

衆所周知，docker可以開啟遠端通路API，但是發現很多都是直接開啟2375端口，未做安全配置，進而出現安全隐患，最近在将docker環境統一portainer管理時，發現有這種情況。本文講解如何開啟安全認證的方法，配置TLS保證API的安全。

簡單粗暴的開啟遠端通路

1、開啟方式

編輯docker檔案：/usr/lib/systemd/system/docker.service

vim /usr/lib/systemd/system/docker.service           

修改ExecStart行為下面内容

ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock \           

重新加載daemon并重新開機docker

systemctl daemon-reload 
systemctl restart docker           

2、安全隐患

雖然這種方式隻能擷取到docker的操作權限，但是docker可以挂載宿主檔案夾，并且docker預設使用root運作，這樣就可以造成任意檔案的讀取和寫入。

例如：寫入ssh公鑰，通過挂載/root到docker，然後進入容器寫入公鑰

或者可以挂載/var/spool/cron/目錄，添加計劃任務反彈shell

具體的這裡就不詳細說明了，總之是不推薦生産上這種方式，測試環境如果涉及外網或者重要資料或者伺服器都不推薦這種方式

配置證書的安全通路

接下來主要講通過TLS進行安全配置，當然可以配置防火牆，設定ACL，僅允許信任的來源IP連接配接的這種方式，這裡就不贅述了，主要講的是進行證書通路。

生成相關的證書檔案詳細步驟

首先我們需要以CA的身份簽伺服器證書以及配置白名單等，然後再簽用戶端證書檔案，下面是詳細步驟

PS:下文中的IP位址換成自己的Docker伺服器對外IP位址

1. 首先，在Docker守護程序的主機上，生成CA私有和公共密鑰

   建立ca檔案夾，并以CA的身份簽發證書

   mkdir -p /usr/local/ca
   cd /usr/local/ca/           

   需要連續輸入兩次相同的密碼

   openssl genrsa -aes256 -out ca-key.pem 4096           

   依次輸入密碼、國家、省、市、組織名稱

   openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem           

2. 建立一個伺服器密鑰和證書簽名請求(CSR)

   生成server-key.pem

   openssl genrsa -out server-key.pem 4096           

   把下面的IP換成你自己伺服器外網的IP或者域名

   openssl req -subj "/CN=192.168.1.1" -sha256 -new -key server-key.pem -out server.csr           

3. 配置白名單

   0.0.0.0表示所有ip都可以連接配接(有證書的才可以連接配接)

   echo subjectAltName = IP:192.168.1.1,IP:0.0.0.0 >> extfile.cnf           

4. 将Docker守護程式密鑰的擴充使用屬性設定為僅用于伺服器身份驗證

echo extendedKeyUsage = serverAuth >> extfile.cnf           

1. 生成伺服器簽名證書

   openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf           

2. 建立用戶端密鑰和證書簽名請求

   openssl genrsa -out key.pem 4096
   
   openssl req -subj '/CN=client' -new -key key.pem -out client.csr           

3. 要使密鑰适合用戶端身份驗證，請建立擴充配置檔案

   echo extendedKeyUsage = clientAuth >> extfile.cnf           

4. 生成用戶端簽名證書

   需要輸入前面設定的密碼           

   openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf           

5. 删除兩個證書簽名請求檔案

   rm -v client.csr server.csr           

6. 修改權限，要保護密鑰免受意外損壞，删除其寫入權限

   chmod -v 0400 ca-key.pem key.pem server-key.pem           

7. 證書對外可讀，删除寫入權限以防止意外損壞

   chmod -v 0444 ca.pem server-cert.pem cert.pem           

8. 将服務端相關的證書拷貝到目錄

   cp server-*.pem  /etc/docker/
   
   cp ca.pem /etc/docker/           

9. 修改Docker配置，使Docker守護程式僅接受來自提供CA信任的證書的用戶端的連接配接

   vim /lib/systemd/system/docker.service           

   ExecStart=/usr/bin/dockerd 下面增加
              

   --tlsverify \
   --tlscacert=/etc/docker/ca.pem \
   --tlscert=/etc/docker/server-cert.pem \
   --tlskey=/etc/docker/server-key.pem \
   -H tcp://0.0.0.0:2376 \
   -H unix:///var/run/docker.sock \           

10. systemctl daemon-reload 
    systemctl restart docker           

    可以使用 netstat -lnpt 檢視2376端口是否被監聽           

11. 儲存相關用戶端的pem檔案到本地

    檔案為ca.pem、cert.pem、key.pem，idea工具連接配接直接選擇用戶端證書檔案夾就行， portainer等安裝要求選擇特定的檔案即可。