事故还原
近日,白泽在使用 docker 的时候,开放了防火墙的端口,以 SSH 方式访问远程服务器的 docker 守护进程(无需使用密钥即可建立连接),随后竟遭到了挖矿木马的攻击,好一顿折腾之后,使用 TLS 证书加密通信才解决了问题。
时间线
部分腾讯云短信和云服务器安全主机管理后台的截图(失眠.jpg):
TLS 实践
TLS For Docker:https://docs.docker.com/engine/security/protect-access/
TLS 的主要作用是提供加密、认证和数据完整性,以确保在网络上进行的通信是安全的。下面的实践在你对照复现的时候,白泽建议你同时打开 docker 的文档,一并参考,注意命令格式。
为了允许机器 A 通过 TLS 访问机器 B 上的 Docker,你需要在机器 B 上进行一系列设置,以确保 Docker 守护程序(Docker Daemon)使用 TLS,并为客户端提供相应的证书。
服务端(docker 守护进程对应服务器)配置
一、在 B 机器上生成 CA(Certificate Authority)证书和密钥
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
-
生成 rsa 私钥
- 私钥生成:rsa
- 私钥位数:4096
- 加密私钥:aes256(生成过程中会提示输入密码,用于对私钥进行加密,后续使用私钥时也会提示输入这个密码)
-
生成自签名证书(根证书 CA)
- 格式:x509
- 签名:使用 sha256 计算 hash 摘要,对摘要使用私钥进行加密,加密的过程就是签名
- 作用:作为根证书用于对后续 server 和 client 端的证书进行签名
二、生成 Docker 守护程序的未签名证书和密钥
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=主机名" -sha256 -new -key server-key.pem -out server.csr
- 创建服务器密钥
- 生成服务器证书签名请求(CSR)文件:以便后续将其发送给证书颁发机构 (CA) 进行签名,从而得到服务器的证书
三、创建一个扩展属性配置文件(extfile.cnf),用于指定 IP 地址和 DNS 名称
echo subjectAltName = IP:机器B的IP地址,DNS:机器B的DNS名 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
- 创建一个
extfile.cnf配置文件,其中包含主题备用名称(subjectAltName)的信息,包括 DNS 名称和 IP 地址。 echo extendedKeyUsage = serverAuth >> extfile.cnf:添加一个扩展属性,指定此证书仅用于服务器认证
四、生成 Docker 守护程序的签名证书
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf
- 使用 CA 的私钥 (
ca-key.pem) 和 CA 签名证书 (ca.pem) 对服务器的 CSR (server.csr) 进行签名,生成服务器的证书 (server-cert.pem)。此命令还使用了extfile.cnf文件中的配置信息,确保证书包含了正确的主题备用名称和扩展属性。
五、配置 Docker 守护程序
在 Docker 守护程序的启动配置中添加 TLS 相关的参数:
dockerd \
--tlsverify \
--tlscacert=ca.pem \
--tlscert=server-cert.pem \
--tlskey=server-key.pem \
-H=0.0.0.0:2376
防火墙配置: 如果机器 B 上有防火墙,确保允许来自机器 A 的流量通过 2376 端口。
🌟 Note:此时已经完成了服务端的配置,接下来需要在服务端上,借助根证书 CA,类似的生成客户端使用的证书,再将其拷贝到客户端机器上,即可使用 TLS 连接服务端 docker。
客户端配置
客户端的证书的生成和配置是类似的,这里简单罗列命令,不做重复解释。
- 生成客户端私钥
openssl genrsa -out key.pem 4096
- 创建客户端证书签名请求 (CSR)
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
- 创建客户端证书扩展配置文件
echo extendedKeyUsage = clientAuth > extfile-client.cnf
- 生成签名的客户端证书
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out cert.pem -extfile extfile-client.cnf
- 在机器 B 上使用 docker 客户端连接到机器 B 的 docker 守护进程,并成功打印 docker version(后续只需要将客户端证书拷贝至 A 机器上即可实现安全的 TLS 连接)
docker --tlsverify \
--tlscacert=ca.pem \
--tlscert=cert.pem \
--tlskey=key.pem \
-H=机器B的IP地址:2376 version
安全性工作
- 设置文件访问权限
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
- 清理临时文件
rm -v client.csr server.csr extfile.cnf extfile-client.cnf
- 方便使用 docker(通过这种方式就不用每次连接都指定客户端证书的路径了)
mkdir -p ~/.docker
cp -v {ca,cert,key}.pem ~/.docker
export DOCKER_HOST=tcp://82.156.171.8:2376 DOCKER_TLS_VERIFY=1
当然只通过 export 配置环境变量只在当前会话生效,你需要在额外的配置文件中进行声明,这是 gpt 的回答:
参考文献
结语
本次事故,让我意识到服务器安全的重要性,每次被迫重装系统需要做很多数据备份迁移工作,服务也被迫暂停。平日维护服务器,更应当预防为主,做好规划,降低出错带来的恢复成本。
感兴趣可以关注公众号 「白泽talk」,白泽目前也打算打造一个氛围良好的行业交流群,欢迎加入:622383022。