Docker高级应用---远程TLS管理（安全认证）

文章目录

前言

TLS（Transport Layer
Security，安全传输层)，TLS是建立在传输层TCP协议之上的协议，服务于应用层，它的前身是SSL（Secure Socket
Layer，安全套接字层），它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。

TLS协议具备三大特性：保密性（数据都是加密传输，预防第三方嗅探）、数据完整性（基于MAC校验机制）、双向认证支持（避免身份被冒充）

在docker中，建立TLS加密是为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人***，c/s
两端应该通过加密方式通讯。

一、Docker 容器与虚拟机的区别

1.隔离与共享

虚拟机通过添加 Hypervisor 层，虚拟出网卡、内存、CPU 等虚拟硬件，再在其上建立虚拟机，每个虚拟机都有自己的系统内核。而
Docker 容器则是通过隔离的方式，将文件系统、进程、设备、网络等资源进行隔离，再对权限、CPU
资源等进行控制，最终让容器之间互不影响，容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源

docker容器共享同一个内核资源，而虚拟机是独立的使用的资源都是独立的。

2.性能与损耗

与虚拟机相比，容器资源损耗要少。同样的宿主机下，能够建立容器的数量要比虚拟机多。但是，虚拟机的安全性要比容器稍好，
要从虚拟机破到宿主机或其他虚拟机，需要先破 Hypervisor 层，这是极其困难的。而 docker
容器与宿主机共享内核、文件系统等资源，更有可能对其他容器、宿主机产生影响。

与虚拟机相比容器消耗资源要少的多，因为容器是共享内核的意味着，一个容器资源占用多，其他容器占用的就少，一个容器出现问题，其他容器都会出现问题，因此虚拟机安全性要比容器好

二、Docker 存在的安全问题

1.Docker 自身漏洞

作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。常用的手段主要有

代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快，
Docker 用户最好将 Docker 升级为 最新版本。

2. Docker 源码问题

（1）Docker 提供了 Docker hub，可以让用户上传创建的镜像，以便其他用户下载，快速搭
建环境。但同时也带来了一些安全问题。例如下面三种方式：（1）上传恶意镜像
如果有在制作的镜像中植入、后门等恶意软件，那么环境从一开始就已经不安全了，后续更没有什么安全可言。

（镜像可能存爱*软件和病毒）

（2）镜像使用有漏洞的软件 Docker Hub 上能下载的镜像里面，75%的镜像都安装了有漏洞的软件。所以下载镜像后，
需要检查里面软件的版本信息，对应的版本是否存在漏洞，并及时更新打上补丁。

（老版本的镜像中环境有问题）

（3）中间人篡改镜像镜像在传输过程中可能被篡改，目前新版本的 Docker 已经提供了相应的校验机制来预防这个问题。
你上传的镜像被中间人劫持，篡改，这个时候你需要TLS安全证书，docker容器去找docker服务器做安全认证

三、Docker 架构缺陷与安全机制

Docker 本身的架构与机制就可能产生问题，例如这样一种场景，已经控制了宿主机上的一些容器，或者获得了通过在公有云上建立容器的方式，然后对宿主机或其他容器发起。

容器之间的局域网

主机上的容器之间可以构成局域网，因此针对局域网的 ARP 欺骗、嗅探、广播风暴等方式便可以用上。
所以，在一个主机上部署多个容器需要合理的配置网络，设置 iptable 规则。

DDoS 耗尽资源

Cgroups 安全机制就是要防止此类的，不要为单一的容器分配过多的资源即可避免此类问题。

有漏洞的系统调用 Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。一旦宿主内核存在可以越权或者提权漏洞，尽管Docker使用普通用户执行，在容器被时，者还可以利用内核漏洞跳到宿主机做更多的事情。

共享root用户权限如果以 root 用户权限运行容器，容器内的 root 用户也就拥有了宿主机的root权限。

四：Dcoker-TLS加密实战

4.1：TLS概述

TLS（Transport Layer Security Protocol）：传输层安全性协议，其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。

TLS协议采用主从式架构模型，用于在两个应用程序间透过网络创建起安全的连线，防止在交换数据时受到窃听及篡改

TLS协议的优势是与高层的应用层协议（如HTTP、FTP、Telnet等）无耦合。应用层协议能透明地运行在TLS协议之上，由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密，从而保证通信的私密性。

4.2：为什么要使用TLS加密

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击，c/s 两端应该通过加密方式通讯。

1:对称DES 3DES AES长度不同长度越长安全越高，解密速度越慢

2:非对称RSA公钥，私钥、公钥:所有人可知(锁)私钥(钥匙)个人身份信息，不可抵赖。

3:证书:个人信息，密钥，有效期

4: ca:证书颁发机构ca证书

5.具体的TLS流程
密钥key---》身份签名csr---》(服务器/客户端)(结合ca.pem）制作证书pem
证书pem发送给客户端，客户端验证就使用证书验证

4.3：docker-TLS部署

实验环境

主机名	IP地址	部署的服务
master	20.0.0.41	docker-ce
client	20.0.0.42	docker-ce

#本地主机解析文件
[root@localhost ~]# vim /etc/hosts
'//添加本地IP+主机名'
20.0.0.41 master

#修改主机名
[root@localhost ~]# hostnamectl set-hostname master
[root@localhost ~]# su
[root@master ~]# 

#ping一下本地
[root@master ~]# ping master
PING master (20.0.0.41) 56(84) bytes of data.
64 bytes from master (20.0.0.41): icmp_seq=1 ttl=64 time=0.033 ms

#客户端同样
[root@localhost ~]# vim /etc/hosts
20.0.0.41 master

#修改主机名
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su

[root@client ~]# ping client
PING client (20.0.0.42) 56(84) bytes of data.
64 bytes from client (20.0.0.42): icmp_seq=1 ttl=64 time=0.101 ms
64 bytes from client (20.0.0.42): icmp_seq=2 ttl=64 time=0.035 ms

#ping一下master
[root@client ~]# ping master
PING master (20.0.0.41) 56(84) bytes of data.
64 bytes from master (20.0.0.41): icmp_seq=1 ttl=64 time=0.556 ms
64 bytes from master (20.0.0.41): icmp_seq=2 ttl=64 time=0.424 ms

1.服务创建密钥

'//创建证书目录'
[root@master ~]# mkdir /tls

RSA：对称密钥 aes方法  256：长度为256位   -out：输出   
[root@master ~]# openssl# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................++
....................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:      '//输入密码123123'
Verifying - Enter pass phrase for ca-key.pem:    '//确认密码'

'/证书ca-key.pem生成在家目录'

2.创建ca证书

#证书的格式为x.509国际标准  指定时效为1000 指定刚刚产生的密钥文件ca-key.pem   sha256：哈希验证 证书标题：subj "/CN   *：名称你随意换
[root@master ~]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:        '//输入ca密钥密码123123'

#ca证书已经有了
[root@master ~]# ls
ca.pem      ca-key.pem

3.创建服务器私钥

'//家目录生成server-key.pem'
[root@master ~]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
................................................................++
...............................................................................................++
e is 65537 (0x10001)

4.签名私钥

'//家目录生成server.crs'      
[root@master ~]# openssl req -new -key server-key.pem -sha256 -subj "/CN=*" -out server.csr

5.使用ca证书与私钥证书签名，输入123123

'//家目录生成server-cert.pem'
[root@master ~]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:        '//输入ca密钥密码123123'

6.客户端创建密钥

'//生成客户端的密钥key.pem'
[root@master ~]# openssl genrsa -out key.pem 4096

签名客户端

"//签名客户端已经生成client.csr"
[root@master ~]#  openssl req -subj "/CN=client" -new -key key.pem -out client.csr

8.创建配置文件

[root@master ~]# echo extendedKeyUsage=clientAuth > extfile.cnf

'//告知服务端，服务器要开TLS验证，为了产生客户端证书'

9.签名证书输入123123，需要（签名客户端、ca证书、ca密钥）

'//基于ca证书、ca密钥生成签名证书'
[root@master ~]# openssl x509 -req -days 1800 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:        '//输入123123'

10.删除多余文件

[root@master ~]# rm -rf ca.srl client.csr extfile.cnf server.csr

[root@master ~]# ls
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem

11.配置Docker

[root@master ~]# vim /usr/lib/systemd/system/docker.service

'注释14行'
'//添加此行'
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock

#证书都移动到tls目录
[root@master ~]# mv *.pem /tls/
[root@master ~]# ls /tls/
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem

12.重启服务

[root@master tls]# systemctl daemon-reload
[root@master tls]# systemctl restart docker

#查看端口

[root@master tls]# netstat -natp | grep docker
tcp6       0      0 :::2376                 :::*                    LISTEN      22773/dockerd

13.将/tls/ca.pen /tls/cert.pem /tls/key.pem三个文件复制到另一台主机

[root@master tls]# scp ca.pen root@20.0.0.42:/etc/docker
[root@master tls]# scp cert.pem root@20.0.0.42:/etc/docker
[root@master tls]# scp key.pem root@20.0.0.42:/etc/docker

14.client上操作

[root@client ~]# cd /etc/docker/
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community

mark

今天就到这吧