美文网首页
经典版imanager解决Docker Remote Api未授

经典版imanager解决Docker Remote Api未授

作者: SuperMap技术控 | 来源:发表于2021-11-18 09:23 被阅读0次

    超图集团自研产品imanager推出和交付客户使用已有多年时间,在多个大中型项目中都有使用。目前的系列共有2个,一个是较早的基于docker容器化技术开发的经典版imanager, 也称为docker版 imanager; 另一个就是基于kubernetes架构开发的k8s版imanager。今天我们要讨论的是针对经典版imanager在项目使用过程中,因安全扫描会报出来的其中一个漏洞的解决方案。

    生成docker证书

    具体步骤见docker官方文档https://docs.docker.com/engine/security/protect-access/, 以下贴出详细执行步骤(截止本文发布时docker imanager最新版本为1020)


    1. cd /etc/imanager/docker-cert
    2. mkdir 172.16.11.11
     这里的ip是本机的ip地址,应当和.env配置文件中IMANAGER_HOST_IP配置的值相同
    3. cd 172.16.11.11
    4. openssl genrsa -aes256 -out ca-key.pem 4096
     输入2次密码, 本文以supermap为例
    5. openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
     证书相关信息的输入,其中common name要求输入HOST, 可以在命令行中执行hostname命令得到当前主机名,本文以master为例
    6. openssl genrsa -out server-key.pem 4096
    7. openssl req -subj "/CN=master" -sha256 -new -key server-key.pem -out server.csr
    8. echo subjectAltName = DNS:master,IP:172.16.11.11,IP:127.0.0.1 >> extfile.cnf
     这里的ip 172.16.11.11填本机服务器的ip
    9. echo extendedKeyUsage = serverAuth >> extfile.cnf
    10. openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem
    -CAcreateserial -out server-cert.pem -extfile extfile.cnf
    11. openssl genrsa -out key.pem 4096
    12. openssl req -subj '/CN=client' -new -key key.pem -out client.csr
    13. echo extendedKeyUsage = clientAuth > extfile-client.cnf
    14. openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem
    -CAcreateserial -out cert.pem -extfile extfile-client.cnf
     输入密码supermap
    15. rm -v client.csr server.csr extfile.cnf extfile-client.cnf
    16. chmod -v 0400 ca-key.pem key.pem server-key.pem
    17. chmod -v 0444 ca.pem server-cert.pem cert.pem
    18. 到imanager安装目录下,执行./shutdown.sh
    19. ./startup.sh重启imanager即可

    配置docker默认使用https访问

    经过以上在指定位置创建相应IP值目录和生成docker的证书后,docker remote api未授权漏洞就解决了。但如果需要用安全的方式通过 HTTP 而不是 SSH 访问 Docker,可以通过指定tlsverify标志并将 Docker 的tlscacert标志指向 受信任的 CA 证书来启用 TLS (HTTPS) 。在守护进程模式下,它只允许来自由该 CA 签署的证书进行身份验证的客户端的连接。在客户端模式下,它仅连接到具有由该 CA 签署的证书的服务器。

    由于我们的docker和docker imanager是安装在同一台服务器上,所以我们通过以下操作来启用docker的https访问。

    1. curl https://172.16.16.11:2375/images/json  --cert /etc/docker/cert.pem   --key /etc/docker/key.pem --cacert /etc/docker/ca.pem
    IP为本机服务IP, 执行这条命令可以看到有报错信息,说明docker未配置https
    2. cp -r /etc/imanager/docker-cert/172.16.11.11/* /etc/docker/
     复制相关的证书到/etc/docker目录下
    3. vim /etc/systemd/system/docker.service
     修改docker服务配置
    4. 修改其中的Service的ExecStart配置项为
     ExecStart=/usr/bin/dockerd -H 0.0.0.0:2375 -H unix:///var/run/docker.sock --insecure-registry 0.0.0.0/0 -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem
     这里应只有一个ExecStart配置起作用,如果后面重启docker后有报错,可以检查这里
    5. systemctl daemon-reload
    6. systemctl restart docker
    7. curl https://172.16.16.11:2375/images/json  --cert /etc/docker/cert.pem   --key /etc/docker/key.pem --cacert /etc/docker/ca.pem
     执行命令有返回结果,无报错,说明https配置成功

    相关文章

      网友评论

          本文标题:经典版imanager解决Docker Remote Api未授

          本文链接:https://www.haomeiwen.com/subject/obrdtrtx.html