目录
一、TLS简介
TLS(Transport Layer
Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket
Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。TLS协议具备三大特性:保密性(数据都是加密传输,预防第三方嗅探)、数据完整性(基于MAC校验机制)、双向认证支持(避免身份被冒充)
在docker中,建立TLS加密是为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人,c/s 两端应该通过加密方式通讯。
二、Docker 容器与虚拟机的区别
隔离与共享
- 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而
Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU
资源等进行控制,最终让容器之间互不影响, 容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源 - docker容器共享同一个内核资源,而虚拟机是独立的使用的资源都是独立的。
性能与损耗
- 与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好,
要从虚拟机破到宿主机或其他虚拟机,需要 先破 Hypervisor 层,这是极其困难的。而 docker
容器与宿主机共享内核、文件系统等资源, 更有可能对其他容器、宿主机产生影响。 - 与虚拟机相比容器消耗资源要少的多,因为容器是共享内核的意味着,一个容器资源占用多,其他容器占用的就少,一个容器出现问题,其他容器都会出现问题,因此虚拟机安全性要比容器好
三、Docker 存在的安全问题
1.Docker 自身漏洞
- 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。 常用的手段主要有
代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,
Docker 用户最好将 Docker 升级为 最新版本。
2.Docker 源码问题
Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭
建环境。但同时也带来了一些安全问题。例如下面三种方式:
- (1)上传恶意镜像 如果有在制作的镜像中植入、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
(镜像可能存爱*软件和病毒)
- (2)镜像使用有漏洞的软件 Docker Hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,
需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。
(老版本的镜像中环境有问题)
- (3)中间人篡改镜像 镜像在传输过程中可能被篡改,目前新版本的 Docker 已经提供了相应的校验机制来预 防这个问题。
你上传的镜像被中间人劫持,篡改,这个时候你需要TLS安全证书,docker容器去找docker服务器做安全认证四、Docker 架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题,例如这样一种场景,已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起。
- 容器之间的局域网 主机上的容器之间可以构成局域网,因此针对局域网的 ARP 欺骗、嗅探、广播风暴等 方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。- DDoS 耗尽资源 Cgroups 安全机制就是要防止此类的,不要为单一的容器分配过多的资源即可避免此类问题。
- 有漏洞的系统调用 Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被时,者还可以利用内核漏洞跳到宿主机做更多的事情。- 共享root用户权限 如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机的root权限。
五、Dcoker-TLS加密实战
1.TLS概述
TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。
TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改
TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。
2.为什么要使用TLS加密
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。
1:对称DES 3DES AES长度不同长度越长安全越高,解密速度越慢
2:非对称RSA公钥,私钥、公钥:所有人可知(锁)私钥(钥匙)个人身份信息,不可抵赖。
3:证书:个人信息,密钥,有效期
4: ca:证书颁发机构ca证书
5.具体的TLS流程 密钥key—》身份签名csr—》(服务器/客户端)(结合ca.pem)制作证书pem 证书pem发送给客户端,客户端验证就使用证书验证
六、实验部署
环境
| 主机名 | IP | 部署服务 |
|---|---|---|
| master | 192.168.100.20 | docker-ce |
| client | 192.168.100.21 | docker-ce |
本地主机解析文件
[root@master ~]# vim /etc/hosts
192.168.100.20 master ///添加
#ping一下本地
[root@master ~]# ping master
PING master (192.168.100.20) 56(84) bytes of data.
64 bytes from 192.168.100.20: icmp_seq=1 ttl=64 time=0.059 ms
64 bytes from 192.168.100.20: icmp_seq=2 ttl=64 time=0.072 ms
#客户端一样
添加 192.168.100.20 master
ping master
ping client
1.服务创建密钥
'//创建证书目录'
[root@master ~]# mkdir /tls
对称密钥 aes方法 256:长度为256位 -out:输出
[root@master ~]# openssl# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................++
....................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: '//输入密码
Verifying - Enter pass phrase for ca-key.pem: '//确认密码'
'/证书ca-key.pem生成在家目录'
2.创建ca证书
#证书的格式为x.509国际标准 指定时效为1000 指定刚刚产生的密钥文件ca-key.pem sha256:哈希验证 证书标题:subj "/CN *:名称你随意换
[root@master ~]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem: '//输入ca密钥密码123123'
#ca证书已经有了
[root@master ~]# ls
ca.pem ca-key.pem
3.创建服务器私钥
///生成server-key.pem
[root@master tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
..........................................................................................................................................................................................................................................................................++
..........................................................................................................................++
e is 65537 (0x10001)
4.签名私钥
'//目录生成server.crs'
[root@master ~]# openssl req -new -key server-key.pem -sha256 -subj "/CN=*" -out server.csr
5.使用ca证书与私钥证书签名
生成server-cert.pem'
[root@master ~]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem: '//输入ca密钥密码123123'
6.客户端创建密钥
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
......................................................................................................................................................................................................................++
................................++
e is 65537 (0x10001)
7.签名客户端
"//签名客户端已经生成client.csr"
[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
[root@master tls]# ls
ca-key.pem ca.pem ca.srl client.csr key.pem server-cert.pem server.csr server-key.pem
8.创建配置文件
[root@master ~]# echo extendedKeyUsage=clientAuth > extfile.cnf
'//告知服务端,服务器要开TLS验证,为了产生客户端证书'
9.签名证书输入密码,需要(签名客户端、ca证书、ca密钥)
//创建签名证书----cert.pem
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem: #输入密码
10.删除多余文件
[root@master tls]# ls
ca-key.pem ca.srl client.csr key.pem server.csr
ca.pem cert.pem extfile.cnf server-cert.pem server-key.pem
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr
[root@master tls]# ls
ca-key.pem ca.pem cert.pem key.pem server-cert.pem server-key.pem
[root@master tls]#
11.配置Docker
//修改docker的配置文件,并且重启服务
[root@master tls]# vi /usr/lib/systemd/system/docker.service
#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/tls/ca.pem --tlscert=/root/tls/server-cert.pem --tlskey=/root/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock
[root@master tls]# systemctl daemon-reload
[root@master tls]# systemctl restart docker
将(ca.pem)ca证书、(cert.pem)签名证书、(key.pem)客户端密钥复制到client的/etc/docker目录下,使client客户端可以通过证书来访问
[root@master tls]# scp ca.pem root@192.168.100.21:/etc/docker/
root@192.168.100.21's password:
ca.pem 100% 1765 529.0KB/s 00:00
[root@master tls]# scp cert.pem root@192.168.100.21:/etc/docker/
root@192.168.100.21's password: ///输入客户机登录密码
cert.pem 100% 1696 229.8KB/s 00:00
[root@master tls]# scp key.pem root@192.168.100.21:/etc/docker/
root@192.168.100.21's password:
key.pem 100% 3243 329.2KB/s 00:00
12.client上操作
[root@client ~]# cd /etc/docker/
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community