国产片侵犯亲女视频播放_亚洲精品二区_在线免费国产视频_欧美精品一区二区三区在线_少妇久久久_在线观看av不卡

服務(wù)器之家:專注于服務(wù)器技術(shù)及軟件下載分享
分類導(dǎo)航

云服務(wù)器|WEB服務(wù)器|FTP服務(wù)器|郵件服務(wù)器|虛擬主機(jī)|服務(wù)器安全|DNS服務(wù)器|服務(wù)器知識|Nginx|IIS|Tomcat|

服務(wù)器之家 - 服務(wù)器技術(shù) - 服務(wù)器知識 - docker remote api一鍵TLS加密的實現(xiàn)

docker remote api一鍵TLS加密的實現(xiàn)

2021-11-24 16:46與李 服務(wù)器知識

本文主要介紹了docker remote api一鍵TLS加密的實現(xiàn),文中通過示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下

最近公司服務(wù)器被挖礦了,最后原因定位到docker的2375端口。

讓我們來理一下,最開始發(fā)現(xiàn)docker中莫名其妙多了幾個鏡像和正在運(yùn)行的容器,而且很吃CPU,且2375端口未設(shè)置ip訪問規(guī)則,意思就是所有人都可以通過你的2375端口操作你的docekr,且用啟動容器掛載宿主機(jī)文件夾,因為docker使用root權(quán)限啟動的,所以所有人都可以通過你的2375端口以root用戶控制你的宿主機(jī)。

下面講一下我們的應(yīng)對步驟:

1、修改docker的2375端口為另外的端口,這只是權(quán)宜之計。

?
1
$ vi /usr/lib/systemd/system/docker.service

docker remote api一鍵TLS加密的實現(xiàn)

重啟docker:

?
1
2
$ systemctl daemon-reload
$ systemctl restart docker

2、給docker進(jìn)行tls加密

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
#!/bin/bash
mkdir -p /root/tls/pem
DOMAIN_HOST=`ifconfig eth0 | grep "inet" | awk '{ print $2}' | sed -n '1p;1q'`
#DOMAIN_HOST=`hostname` #選擇域名方案最好
HOST=$DOMAIN_HOST
# 自定義信息
PASSWORD="yourPassword"
COUNTRY=CN
PROVINCE=gd
CITY=gz
ORGANIZATION=dounine
GROUP=dg
NAME=lake
SUBJ="/C=$COUNTRY/ST=$PROVINCE/L=$CITY/O=$ORGANIZATION/OU=$GROUP/CN=$HOST"
# 自定義信息
#============================================================================================
#此形式是自己給自己簽發(fā)證書,自己就是CA機(jī)構(gòu),也可以交給第三方機(jī)構(gòu)去簽發(fā)
# 生成根證書RSA私鑰,password作為私鑰密碼(身份證)
openssl genrsa -passout pass:$PASSWORD -aes256 -out /root/tls/pem/ca-key.pem 4096
# 2.用根證書RSA私鑰生成自簽名的根證書(營業(yè)執(zhí)照)
openssl req -new -x509 -days 365 -passin pass:$PASSWORD -key /root/tls/pem/ca-key.pem -sha256 -subj $SUBJ -out /root/tls/pem/ca.pem
#============================================================================================
#給服務(wù)器簽發(fā)證書
# 1.服務(wù)端生成自己的私鑰
openssl genrsa -out /root/tls/pem/server-key.pem 4096
# 2.服務(wù)端生成證書(里面包含公鑰與服務(wù)端信息)
openssl req -new -sha256 -key /root/tls/pem/server-key.pem -out /root/tls/pem/server.csr -subj "/CN=$DOMAIN_HOST"
# 3.通過什么形式與我進(jìn)行連接,可設(shè)置多個IP地扯用逗號分隔
echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf
# 4.權(quán)威機(jī)構(gòu)對證書進(jìn)行進(jìn)行蓋章生效
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/server.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/server-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
#給客戶端簽發(fā)證書
openssl genrsa -out /root/tls/pem/client-key.pem 4096
openssl req -subj '/CN=client' -new -key /root/tls/pem/client-key.pem -out /root/tls/pem/client.csr
echo extendedKeyUsage = clientAuth > /tmp/extfile.cnf
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/client.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/client-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
# 清理文件
rm -rf /root/tls/pem/ca-key.pem
rm -rf /root/tls/pem/{server,client}.csr
rm -rf /root/tls/pem/ca.srl
# 最終文件
# ca.pem  ==  CA機(jī)構(gòu)證書
# client-cert.pem  ==  客戶端證書
# client-key.pem  ==  客戶私鑰
# server-cert.pem  == 服務(wù)端證書
# server-key.pem  ==  服務(wù)端私鑰

注意:

  • 當(dāng)DOMAIN_HOST設(shè)置成域名時,echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf這段代碼的$DOMAIN_HOST應(yīng)該替換為你的服務(wù)器的公網(wǎng)ip
  • echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf中的IP:0.0.0.0表示所有ip都可以通過攜帶證書訪問,雖然這里是設(shè)定了所有,但是不應(yīng)該省略顯示的定義自己服務(wù)器的公網(wǎng)ip。即為IP:$yourip,IP:0.0.0.0,而不是IP:0.0.0.0

賦予該文件執(zhí)行權(quán)限:

?
1
$ chmod +x tls.sh

執(zhí)行該shell腳本后,會在/root/tls/pem目錄下生成ca.pem、client-cert.pem、client-key.pem 、server-cert.pem、server-key.pem。

然后修改docker配置:

?
1
$ vim /usr/lib/systemd/system/docker.service

添加:

?
1
2
3
4
--tlsverify \
--tlscacert=/root/tls/pem/ca.pem \
--tlscert=/root/tls/pem/server-cert.pem \
--tlskey=/root/tls/pem/server-key.pem \

docker remote api一鍵TLS加密的實現(xiàn)

重啟docker:

?
1
2
$ systemctl daemon-reload
$ systemctl restart docker

現(xiàn)在使用docker remote api進(jìn)行連接:

無認(rèn)證:

?
1
$ docker -H tcp://192.168.0.150:2376 version

會報錯未認(rèn)證。

攜帶認(rèn)證方式:

?
1
docker --tlsverify --tlscacert=/root/tls/pem/ca.pem --tlscert=/root/tls/pem/client-cert.pem --tlskey=/root/tls/pem/client-key.pem -H tcp://192.168.0.150:2376 version

到此這篇關(guān)于docker remote api一鍵TLS加密的實現(xiàn)的文章就介紹到這了,更多相關(guān)docker remote api一鍵TLS加密內(nèi)容請搜索服務(wù)器之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持服務(wù)器之家!

原文鏈接:https://blog.csdn.net/qq_37171817/article/details/108473228

延伸 · 閱讀

精彩推薦
Weibo Article 1 Weibo Article 2 Weibo Article 3 Weibo Article 4 Weibo Article 5 Weibo Article 6 Weibo Article 7 Weibo Article 8 Weibo Article 9 Weibo Article 10 Weibo Article 11 Weibo Article 12 Weibo Article 13 Weibo Article 14 Weibo Article 15 Weibo Article 16 Weibo Article 17 Weibo Article 18 Weibo Article 19 Weibo Article 20 Weibo Article 21 Weibo Article 22 Weibo Article 23 Weibo Article 24 Weibo Article 25 Weibo Article 26 Weibo Article 27 Weibo Article 28 Weibo Article 29 Weibo Article 30 Weibo Article 31 Weibo Article 32 Weibo Article 33 Weibo Article 34 Weibo Article 35 Weibo Article 36 Weibo Article 37 Weibo Article 38 Weibo Article 39 Weibo Article 40
主站蜘蛛池模板: 玖玖视频 | 国产一区二区免费 | 色乱码一区二区三区网站 | 五月婷婷综合激情网 | 亚洲成人免费在线播放 | 欧美一区亚洲一区 | 日韩精品在线播放 | 亚洲免费网站 | 欧美精品一区在线 | 国产一区二区三区在线观看网站 | 午夜男人的天堂 | 美女超碰 | 成人在线高清 | 欧美在线综合 | 黄色精品一区二区 | 国产精品精品 | 成人涩涩日本国产一区 | 欧美电影免费网站 | 国产中文字幕在线观看 | 亚洲免费观看 | 91中文字幕在线观看 | 五月天激情综合网 | 五月在线视频 | 久草热8精品视频在线观看 欧美黄色小视频 | 欧美一区二区三 | 免费成年人视频在线观看 | 可以免费在线观看av的网站 | 亚洲在线视频 | 中文字幕在线视频观看 | 精品一区视频 | 欧美黄色网 | 成人免费视频网站在线观看 | 亚洲精品欧美精品 | 久久久婷婷 | 亚洲国产一区二区在线观看 | 欧美一级片免费播放 | 91污视频 | 久久99精品久久久久蜜臀 | 国产精品免费视频观看 | 欧美亚洲视频在线观看 | 国产精品久久久久久久美男 |