2375端口安全性与TLS配置实操指南

前言

之前在一篇文章中，我尝试通过开放服务器2375端口来监听 Docker API，但这导致了严重的安全问题。两台阿里云服务器的 root 账号被劫持，ucloud 服务器内存被挖矿占满。这次经历让我深刻认识到：如果不采取加密措施，暴露 Docker API 端口的风险远不止你想象的那样。

这篇文章将介绍如何通过 TLS 加密 Docker API 来解决这一问题。我们将从设置主机名、生成 TLS 证书、配置 Docker 启用 TLS、IDEA 配置以及项目部署等方面展开实操步骤。

实操指南

1. 设置主机名

每个服务器都需要一个独特的主机名。我们可以通过以下命令来设置服务器的主机名：

vim /etc/hostname

输入主机名，例如 a.youlai.store，然后保存退出。

2. 生成 TLS 证书

为了确保 Docker API 的安全性，我们需要生成 TLS 证书。以下是生成证书的脚本及其步骤：

mkdir -p /script /data/cert/dockertouch /script/cert.sh
vim /script/cert.sh

将以下内容添加到脚本中：

#!/bin/bash
set -e
if [ -z "$1" ]; then
    echo "请输入 Docker 服务器主机名"
    exit 0
fi
HOST=$1
mkdir -p /data/cert/docker
cd /data/cert/docker
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
# 配置白名单，推荐配置 0.0.0.0，允许所有 IP 连接但只有证书才能成功连接
echo subjectAltName = DNS:$HOST,IP:0.0.0.0 > extfile.cnf
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth > extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

运行脚本并输入服务器主机名：

sh /script/cert.sh a.youlai.store

生成的证书文件会存放在 /data/cert/docker 目录中。

3. 配置 Docker 启用 TLS

接下来，我们需要配置 Docker 启用 TLS 加密。以下是具体步骤：

vim /usr/lib/systemd/system/docker.service

在 ExecStart 属性后追加以下内容：

--tlsverify --tlscacert=/data/cert/docker/ca.pem \
--tlscert=/data/cert/docker/server-cert.pem \
--tlskey=/data/cert/docker/server-key.pem \
-H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock

保存退出后，重新加载 Docker 配置并重启服务：

systemctl daemon-reload
systemctl restart docker

检查 2376 端口是否正常运行：

netstat -nltp | grep 2376

4. IDEA 配置

在 IDEA 中配置 Docker 的 TLS 认证，按以下步骤操作：

将服务器的 ca.pem、cert.pem 和 key.pem 文件从服务器下载到本地。

在 IDEA 中打开 pom.xml 文件，找到 Docker 插件配置：


   
    
    
        
     
            
      
       org.springframework.boot
      
            
      
       spring-boot-maven-plugin
      
        
     
        
     
            
      
       com.spotify
      
            
      
       docker-maven-plugin
      
            
      
       1.0.0
      
            
      
                
       
                    
        
         build-image
        
                    
        
         package
        
                    
         
         
          build
          
        
                
       
            
      
            
      
                
       
        ${project.artifactId}
       
                
       
                    
        
         latest
        
                
       
                
       
        openjdk:8-jdk-alpine
       
                
       
        /
       
                
       
        ["java","-jar","${project.build.finalName}.jar"]
       
                
       
        https://a.youlai.store:2376
       
                
       
        C:\certs\docker\a.youlai.store
       
                
       
                    
         
         
          /
          
         
          ${project.build.directory}
          
         
          ${project.build.finalName}.jar

5. 打包测试

完成以上配置后，可以运行以下命令进行打包测试：

mvn clean package docker:build

结语

通过以上步骤，我们成功配置了 Docker API 的 TLS 加密，避免了 2375 端口的安全隐患。如果您在实际操作中遇到问题，欢迎在评论区留言，我会第一时间为您解答！

转载地址：http://noxuz.baihongyu.com/

你可能感兴趣的文章

Node-RED中使用node-red-contrib-image-output节点实现图片预览