作者:wutaotao

超图集团自研产品imanager推出和交付客户使用已有多年时间,在多个大中型项目中都有使用。目前的系列共有2个,一个是较早的基于docker容器化技术开发的经典版imanager, 也称为docker版 imanager; 另一个就是基于kubernetes架构开发的k8s版imanager。今天我们要讨论的是针对经典版imanager在项目使用过程中,因安全扫描会报出来的其中一个漏洞的解决方案。

生成docker证书

具体步骤见docker官方文档https://docs.docker.com/engine/security/protect-access/, 以下贴出详细执行步骤(截止本文发布时docker imanager最新版本为1020)

1. cd /etc/imanager/docker-cert
2. mkdir 172.16.11.11
   这里的ip是本机的ip地址,应当和.env配置文件中IMANAGER_HOST_IP配置的值相同
3. cd 172.16.11.11
4. openssl genrsa -aes256 -out ca-key.pem 4096
   输入2次密码, 本文以supermap为例
5. openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
   证书相关信息的输入,其中common name要求输入HOST, 可以在命令行中执行hostname命令得到当前主机名,本文以master为例
6.  openssl genrsa -out server-key.pem 4096
7.  openssl req -subj "/CN=master" -sha256 -new -key server-key.pem -out server.csr
8.  echo subjectAltName = DNS:master,IP:172.16.11.11,IP:127.0.0.1 >> extfile.cnf
   这里的ip 172.16.11.11填本机服务器的ip 
9.  echo extendedKeyUsage = serverAuth >> extfile.cnf
10.  openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
11. openssl genrsa -out key.pem 4096
12. openssl req -subj '/CN=client' -new -key key.pem -out client.csr
13. echo extendedKeyUsage = clientAuth > extfile-client.cnf
14. openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf
   输入密码supermap
15. rm -v client.csr server.csr extfile.cnf extfile-client.cnf
16. chmod -v 0400 ca-key.pem key.pem server-key.pem
17. chmod -v 0444 ca.pem server-cert.pem cert.pem
18. 到imanager安装目录下,执行./shutdown.sh
19. ./startup.sh重启imanager即可

配置docker默认使用https访问

经过以上在指定位置创建相应IP值目录和生成docker的证书后,docker remote api未授权漏洞就解决了。但如果需要用安全的方式通过 HTTP 而不是 SSH 访问 Docker,可以通过指定tlsverify标志并将 Docker 的tlscacert标志指向 受信任的 CA 证书来启用 TLS (HTTPS) 。在守护进程模式下,它只允许来自由该 CA 签署的证书进行身份验证的客户端的连接。在客户端模式下,它仅连接到具有由该 CA 签署的证书的服务器。

由于我们的docker和docker imanager是安装在同一台服务器上,所以我们通过以下操作来启用docker的https访问。

1. curl https://172.16.16.11:2375/images/json  --cert /etc/docker/cert.pem   --key /etc/docker/key.pem --cacert /etc/docker/ca.pem
  IP为本机服务IP, 执行这条命令可以看到有报错信息,说明docker未配置https
2. cp -r /etc/imanager/docker-cert/172.16.11.11/* /etc/docker/
   复制相关的证书到/etc/docker目录下
3. vim /etc/systemd/system/docker.service
   修改docker服务配置
4. 修改其中的Service的ExecStart配置项为
   ExecStart=/usr/bin/dockerd -H 0.0.0.0:2375 -H unix:///var/run/docker.sock --insecure-registry 0.0.0.0/0 -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem
   这里应只有一个ExecStart配置起作用,如果后面重启docker后有报错,可以检查这里
5. systemctl daemon-reload
6. systemctl restart docker
7. curl https://172.16.16.11:2375/images/json  --cert /etc/docker/cert.pem   --key /etc/docker/key.pem --cacert /etc/docker/ca.pem
   执行命令有返回结果,无报错,说明https配置成功

Logo

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐