经典版imanager解决Docker Remote Api未授权漏洞
作者:wutaotao经典版imanager解决Docker Remote Api未授权漏洞超图集团自研产品imanager推出和交付客户使用已有多年时间,在多个大中型项目中都有使用。目前的系列共有2个,一个是较早的基于docker容器化技术开发的经典版imanager, 也称为docker版 imanager; 另一个就是基于kubernetes架构开发的k8s版imanager。今天我们要讨论
作者:wutaotao
超图集团自研产品imanager推出和交付客户使用已有多年时间,在多个大中型项目中都有使用。目前的系列共有2个,一个是较早的基于docker容器化技术开发的经典版imanager, 也称为docker版 imanager; 另一个就是基于kubernetes架构开发的k8s版imanager。今天我们要讨论的是针对经典版imanager在项目使用过程中,因安全扫描会报出来的其中一个漏洞的解决方案。
生成docker证书
具体步骤见docker官方文档https://docs.docker.com/engine/security/protect-access/, 以下贴出详细执行步骤(截止本文发布时docker imanager最新版本为1020)
1. cd /etc/imanager/docker-cert
2. mkdir 172.16.11.11
这里的ip是本机的ip地址,应当和.env配置文件中IMANAGER_HOST_IP配置的值相同
3. cd 172.16.11.11
4. openssl genrsa -aes256 -out ca-key.pem 4096
输入2次密码, 本文以supermap为例
5. openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
证书相关信息的输入,其中common name要求输入HOST, 可以在命令行中执行hostname命令得到当前主机名,本文以master为例
6. openssl genrsa -out server-key.pem 4096
7. openssl req -subj "/CN=master" -sha256 -new -key server-key.pem -out server.csr
8. echo subjectAltName = DNS:master,IP:172.16.11.11,IP:127.0.0.1 >> extfile.cnf
这里的ip 172.16.11.11填本机服务器的ip
9. echo extendedKeyUsage = serverAuth >> extfile.cnf
10. openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf
11. openssl genrsa -out key.pem 4096
12. openssl req -subj '/CN=client' -new -key key.pem -out client.csr
13. echo extendedKeyUsage = clientAuth > extfile-client.cnf
14. openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out cert.pem -extfile extfile-client.cnf
输入密码supermap
15. rm -v client.csr server.csr extfile.cnf extfile-client.cnf
16. chmod -v 0400 ca-key.pem key.pem server-key.pem
17. chmod -v 0444 ca.pem server-cert.pem cert.pem
18. 到imanager安装目录下,执行./shutdown.sh
19. ./startup.sh重启imanager即可
配置docker默认使用https访问
经过以上在指定位置创建相应IP值目录和生成docker的证书后,docker remote api未授权漏洞就解决了。但如果需要用安全的方式通过 HTTP 而不是 SSH 访问 Docker,可以通过指定tlsverify标志并将 Docker 的tlscacert标志指向 受信任的 CA 证书来启用 TLS (HTTPS) 。在守护进程模式下,它只允许来自由该 CA 签署的证书进行身份验证的客户端的连接。在客户端模式下,它仅连接到具有由该 CA 签署的证书的服务器。
由于我们的docker和docker imanager是安装在同一台服务器上,所以我们通过以下操作来启用docker的https访问。
1. curl https://172.16.16.11:2375/images/json --cert /etc/docker/cert.pem --key /etc/docker/key.pem --cacert /etc/docker/ca.pem
IP为本机服务IP, 执行这条命令可以看到有报错信息,说明docker未配置https
2. cp -r /etc/imanager/docker-cert/172.16.11.11/* /etc/docker/
复制相关的证书到/etc/docker目录下
3. vim /etc/systemd/system/docker.service
修改docker服务配置
4. 修改其中的Service的ExecStart配置项为
ExecStart=/usr/bin/dockerd -H 0.0.0.0:2375 -H unix:///var/run/docker.sock --insecure-registry 0.0.0.0/0 -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem
这里应只有一个ExecStart配置起作用,如果后面重启docker后有报错,可以检查这里
5. systemctl daemon-reload
6. systemctl restart docker
7. curl https://172.16.16.11:2375/images/json --cert /etc/docker/cert.pem --key /etc/docker/key.pem --cacert /etc/docker/ca.pem
执行命令有返回结果,无报错,说明https配置成功
更多推荐
所有评论(0)