Skip to content

DockerCA

Jump to bottom
李志强 edited this page Jul 3, 2017 · 1 revision

Docker TLS认证

  • 为了实现集群管理,Docker提供了远程管理接口。Docker Daemon作为守护进程,运行在后台,可以执行发送到管理接口上的Docker命令。正是因为错误的使用了Docker远端接口,引起安全漏洞。 启动Docker Daemon时,加入-H 0.0.0.0:2375,Docker Daemon就可以接收远端的Docker Client发送的指令。注意,Docker是把2375端口作为非加密端口暴露出来,一般是用在测试环境中。此时,没有任何加密和认证过程,只要知道Docker主机的IP,任何人都可以管理这台主机上的容器和镜像。

检查漏洞

  • 检查docker daemon进程,查看是否开启2375端口
ps -ef | grep docker
/usr/bin/docker daemon -H=tcp://0.0.0.0:2375

解决办法

  • Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了
Clone this wiki locally