经典版imanager解决Docker Remote Api未授
超图集团自研产品imanager推出和交付客户使用已有多年时间,在多个大中型项目中都有使用。目前的系列共有2个,一个是较早的基于docker容器化技术开发的经典版imanager, 也称为docker版 imanager; 另一个就是基于kubernetes架构开发的k8s版imanager。今天我们要讨论的是针对经典版imanager在项目使用过程中,因安全扫描会报出来的其中一个漏洞的解决方案。
生成docker证书
具体步骤见docker官方文档https://docs.docker.com/engine/security/protect-access/, 以下贴出详细执行步骤(截止本文发布时docker imanager最新版本为1020)
1.
cd /etc/imanager/docker-cert
2.
mkdir 172.16.11.11
这里的ip是本机的ip地址,应当和.env配置文件中IMANAGER_HOST_IP配置的值相同
3.
cd 172.16.11.11
4.
openssl genrsa -aes256 -out ca-key.pem 4096
输入2次密码,
本文以supermap为例
5.
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
证书相关信息的输入,其中common
name要求输入HOST,
可以在命令行中执行hostname命令得到当前主机名,本文以master为例
6.
openssl genrsa -out server-key.pem 4096
7.
openssl req -subj "/CN=master" -sha256 -new -key
server-key.pem -out server.csr
8.
echo subjectAltName = DNS:master,IP:172.16.11.11,IP:127.0.0.1 >>
extfile.cnf
这里的ip
172.16.11.11填本机服务器的ip
9.
echo extendedKeyUsage = serverAuth >> extfile.cnf
10.
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey
ca-key.pem
-CAcreateserial -out server-cert.pem -extfile extfile.cnf
11.
openssl genrsa -out key.pem 4096
12.
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
13.
echo extendedKeyUsage = clientAuth > extfile-client.cnf
14.
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey
ca-key.pem
-CAcreateserial -out cert.pem -extfile extfile-client.cnf
输入密码supermap
15.
rm -v client.csr server.csr extfile.cnf extfile-client.cnf
16.
chmod -v 0400 ca-key.pem key.pem server-key.pem
17.
chmod -v 0444 ca.pem server-cert.pem cert.pem
18.
到imanager安装目录下,执行./shutdown.sh
19.
./startup.sh重启imanager即可
配置docker默认使用https访问
经过以上在指定位置创建相应IP值目录和生成docker的证书后,docker remote api未授权漏洞就解决了。但如果需要用安全的方式通过 HTTP 而不是 SSH 访问 Docker,可以通过指定tlsverify标志并将 Docker 的tlscacert标志指向 受信任的 CA 证书来启用 TLS (HTTPS) 。在守护进程模式下,它只允许来自由该 CA 签署的证书进行身份验证的客户端的连接。在客户端模式下,它仅连接到具有由该 CA 签署的证书的服务器。
由于我们的docker和docker imanager是安装在同一台服务器上,所以我们通过以下操作来启用docker的https访问。
1.
curl https://172.16.16.11:2375/images/json --cert
/etc/docker/cert.pem --key /etc/docker/key.pem --cacert
/etc/docker/ca.pem
IP为本机服务IP,
执行这条命令可以看到有报错信息,说明docker未配置https
2.
cp -r /etc/imanager/docker-cert/172.16.11.11/* /etc/docker/
复制相关的证书到/etc/docker目录下
3.
vim /etc/systemd/system/docker.service
修改docker服务配置
4.
修改其中的Service的ExecStart配置项为
ExecStart=/usr/bin/dockerd -H 0.0.0.0:2375 -H
unix:///var/run/docker.sock --insecure-registry 0.0.0.0/0 -H fd://
--containerd=/run/containerd/containerd.sock --tlsverify
--tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem
--tlskey=/etc/docker/server-key.pem
这里应只有一个ExecStart配置起作用,如果后面重启docker后有报错,可以检查这里
5.
systemctl daemon-reload
6.
systemctl restart docker
7.
curl https://172.16.16.11:2375/images/json --cert
/etc/docker/cert.pem --key /etc/docker/key.pem --cacert
/etc/docker/ca.pem
执行命令有返回结果,无报错,说明https配置成功