docker设置TLS,保证端口2375的安全连接。亲测可用~

最新推荐文章于 2025-05-30 16:30:19 发布
最新推荐文章于 2025-05-30 16:30:19 发布
阅读量1.7k 收藏 8
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 阿里云 docker 文章标签: docker linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41976749/article/details/107715437
这篇博客详细介绍了如何在Linux CentOS系统中为Docker设置TLS,确保2375端口的安全连接。首先创建证书文件夹,然后生成私钥和公钥,接着创建服务器密钥和证书签名请求,再修改Docker服务配置,最后通过测试验证TLS设置的成功。博主提供了每一步的具体命令和注意事项,特别强调了Common Name必须填写正确的服务器IP地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前提:登录服务器,创建一个保存证书的文件夹。

我的路径是 /home/bright/ca

1.生成私有和公有秘钥

1.1 输入命令

openssl genrsa -aes256 -out ca-key.pem 4096

会有提示:Enter pass phrase for ca-key.pem:

输入,并记住这个ca-key密码!

1.2 输入命令

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

会有提示:Enter pass phrase for ca-key.pem:

输入刚才保存的ca-key密码!

1.3 输入证书信息

Country Name (2 letter code) : CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]: xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []: [email protected]

说明:
Country Name是国名
State or Province Name是省名
Locality Name是城市名
Organization Name 是公司名
Organizational Unit Name是部门名

Common Name 是 主机名,就是你服务器的外网IP地址,其它选项可以随便填,这个通用名千万不要填错!!!

Email Address是邮箱号

2.创建服务器密钥和证书签名请求

2.1 输入命令

openssl genrsa -out server-key.pem 4096

openssl req -subj "/CN=主机IP地址" -sha256 -new -key server-key.pem -out server.csr

ps:注意上面的主机IP地址不要填错

最低0.47元/天 解锁文章

200万优质内容无限畅学
Docker服务开放了2375这个端口,服务器引起安全漏洞!
weixin_45972606的博客
09-15 1633
使用docker-maven-plugin打包SpringBoot应用的Docker镜像时,服务器需要开放2375端口。会引起安全漏洞,被人入侵、挖矿、CPU飙升发生,使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 1.首先创建一个目录用于存储生成的证书和秘钥 mkdir /mydata/docker-ca && cd /mydata/docker-ca 创建CA证书私钥,期间需要输入两次用户名和密码,生成文件为ca-key.pem; openssl ge
Docker-TLS详解
繁星若渺的博客
03-17 1669
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
Docker 2375端口安全问题】生成证书解决Docker 2375端口问题
lljj10的博客
11-25 2153
Docker 2375 安全问题
docker dockerfile开启2375端口
最新发布
dylan_XK的博客
05-30 308
勾选 Expose daemon on tcp://localhost:2375 without TLS。windows中 docker desktop。docker engine中增加2375的配置。General设置中。
docker开放2375端口设置TLS和CA认证
感谢关注点赞,笔芯啾咪!
03-15 1198
需求:最近要使用idea的docker插件来实现持续集成和部署运行的功能,就在服务器开放了2375端口,但是后续问题就来了,2375没有任何的保护措施,只要知道服务器ip就可以操控镜像和容器,后续服务器就被各种挖矿程序植入,导致内存和cpu爆满,所以为了解决这个安全问题,做了TLS和CA认证。 1.在服务器创建CA文件目录(自己指定,后续所有操作都在必须此目录下进行) mkdir /salong/docker-ca cd /salong/docker-ca 2.创建CA证书私钥,期间需要输入.
Docker实战 | 第五篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
舞鹤白沙编码日志
10-04 1450
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。.
docker添加TLS暴露2375
qq_41009234的博客
01-04 594
docker添加TLS暴露2375创建TLS 安全连接外部访问的方式 创建TLS 安全连接 创建证书脚本 [root@node-219 docker]# cat tlscert.sh #!/bin/bash # @author: Bocloud if [ $# != 1 ] ; then echo "USAGE: $0 [HOST_IP]" exit 1; fi #=======...
如何保证docker2375端口安全
qq_40321119的博客
08-12 3302
情景再现: 之前有很多朋友提过,当使用docker-maven-plugin打包SpringBoot应用的Docker镜像时,服务器需要开放2375端口。由于开放了端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,今天我们来聊聊如何解决这个问题。 问题产生的原因 首先我们要明白问题产生的原因,才能更好地解决问题! Docker为了实现集群管理,提供了远程管理的端口Docker Daemon作为守护进程运行在后台,可以执行发送到管理端口上的Docker命令。 当我们修改do
Docker Api开启TLS认证流程
weixin_42211693的博客
04-01 855
建立CA中心和生成server服务端自签证书
Docker安全TLS加密通讯,图文详解!)
qq_35456705的博客
03-31 609
Docker安全 文章目录Docker安全一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化1)Docker remote api 访问控制2)限制流量流向3)镜像安全4)Docker-TLS加密通讯 一、Docker 容器与虚拟机的区别 1.隔离与共享 虚拟机
Docker——docker安全Docker remote api 访问控制、TLS加密通讯
ML908的博客
04-28 2810
文章目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、 Docker 源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、 DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器...
Docker启用TLS实现安全配置的步骤
01-10
前言 之前开启了docker2375 Remote API,接到公司安全部门的要求,需要启用授权,翻了下官方文档 Protect the Docker daemon socket 启用TLSdocker服务器,生成CA私有和公共密钥 $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..................................................................................
Docker暴露2375端口导致服务器被攻击问题及解决方法
01-20
相信了解过docker remote API的同学对2375端口都不陌生了,2375docker远程操控的默认端口,通过这个端口可以直接对远程的docker daemon进行操作。 当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,可以在外部机器对$HOST的docker daemon进行直接操作: docker -H tcp://$HOST:2375 ps 好,说说如何“入侵”,怎么通过这个端口入侵宿主机呢? 这个应该要从几个点说起吧: 1. docker对user namespace没有做隔离,也就是说,容器内部的root用户就是宿主机
Docker 开放RemoteAPI 2375端口访问
HONGcheng930728的博客
03-22 571
Docker 开放RemoteAPI 2375端口访问 文章目录Docker 开放RemoteAPI 2375端口访问Docker常见端口修改配置文件重启Docker服务验证修改成功与否试查看docker版本信息 Docker常见端口 2375 端口:未加密的docker socket; 远程登录root账号无密码访问主机(默认不开启) 2376 端口TLS加密套接字,很可能是 服务器的CI 4243端口作为https 443端口的修改 2377 端口:集群模式套接字,适用于集群管理器,不适用于doc
Docker设置2375端口
newbie158的博客
03-13 1698
Docker设置2375端口1.查看docker.service文件位置2.修改docker.service文件 1.查看docker.service文件位置 systemctl status docker docker.service路径为: /usr/lib/systemd/system/docker.service 2.修改docker.service文件 ...
Docker启用TLS加密解决暴露2375端口引发的安全漏洞
花花世界芸芸众生的博客
12-23 672
转载:https://www.cnblogs.com/haoxianrui/p/14095306.html 参考:https://docs.docker.com/engine/security/https
Docker解决暴露2375端口引发的安全漏洞
无效的博客
11-12 908
接下来还需要保存iptables的自定义规则,因为系统重启后,会自动重置iptables规则,如果没有持久化并恢复规则,以上指定的规则仍然不会永久生效。另外,iptables-save保存的是当前所有规则,想要只保存指定的几条规则的话,自己提取出内容并重新保存即可,此处我们只提取2375端口的两条规则。docker的暴露api端口2375,没有任何安全防护,我们通过linux系统防火墙(iptables)来进行ip访问限制。这是手动的规则保存恢复操作,我们想要让系统自动恢复,怎么办。
创建Docker TLS 证书
FlonChou
12-10 597
创建Docker TLS 证书 1、编写创建脚本 docker-install-tls.sh 并执行 #创建 Docker TLS 证书 #!/bin/bash #相关配置信息 SERVER需要更改为对应服务器IP SERVER="172.16.0.73" PASSWORD="digitalgd@2020" COUNTRY="CN" STATE="广东省" CITY="广州市" ORGANIZATION="试环境" ORGANIZATIONAL_UNIT="Dev" EMAIL="aap-operat
docker nginx 不用80端口
01-02
这可以通过`docker run`命令中的`-p`参数实现,该参数允许用户设定宿主机上的任意可用TCP端口与容器内的特定端口建立一对一连接[^1]。 例如,如果希望将本地机器上的9090端口绑定至容器内Nginx监听的服务,则可执行...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值