本文共 3420 字，大约阅读时间需要 11 分钟。

2375端口安全性与TLS配置实操指南

前言

之前在一篇文章中，我尝试通过开放服务器2375端口来监听 Docker API，但这导致了严重的安全问题。两台阿里云服务器的 root 账号被劫持，ucloud 服务器内存被挖矿占满。这次经历让我深刻认识到：如果不采取加密措施，暴露 Docker API 端口的风险远不止你想象的那样。

这篇文章将介绍如何通过 TLS 加密 Docker API 来解决这一问题。我们将从设置主机名、生成 TLS 证书、配置 Docker 启用 TLS、IDEA 配置以及项目部署等方面展开实操步骤。

实操指南

1. 设置主机名

每个服务器都需要一个独特的主机名。我们可以通过以下命令来设置服务器的主机名：

vim /etc/hostname

输入主机名，例如 a.youlai.store，然后保存退出。

2. 生成 TLS 证书

为了确保 Docker API 的安全性，我们需要生成 TLS 证书。以下是生成证书的脚本及其步骤：

mkdir -p /script /data/cert/dockertouch /script/cert.shvim /script/cert.sh

将以下内容添加到脚本中：

#!/bin/bashset -eif [ -z "$1" ]; then    echo "请输入 Docker 服务器主机名"    exit 0fiHOST=$1mkdir -p /data/cert/dockercd /data/cert/dockeropenssl genrsa -aes256 -out ca-key.pem 4096openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pemopenssl genrsa -out server-key.pem 4096openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr# 配置白名单，推荐配置 0.0.0.0，允许所有 IP 连接但只有证书才能成功连接echo subjectAltName = DNS:$HOST,IP:0.0.0.0 > extfile.cnfopenssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnfopenssl genrsa -out key.pem 4096openssl req -subj '/CN=client' -new -key key.pem -out client.csrecho extendedKeyUsage = clientAuth > extfile.cnfopenssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnfchmod -v 0400 ca-key.pem key.pem server-key.pemchmod -v 0444 ca.pem server-cert.pem cert.pem

运行脚本并输入服务器主机名：

sh /script/cert.sh a.youlai.store

生成的证书文件会存放在 /data/cert/docker 目录中。

3. 配置 Docker 启用 TLS

接下来，我们需要配置 Docker 启用 TLS 加密。以下是具体步骤：

vim /usr/lib/systemd/system/docker.service

在 ExecStart 属性后追加以下内容：

--tlsverify --tlscacert=/data/cert/docker/ca.pem \--tlscert=/data/cert/docker/server-cert.pem \--tlskey=/data/cert/docker/server-key.pem \-H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock

保存退出后，重新加载 Docker 配置并重启服务：

systemctl daemon-reloadsystemctl restart docker

检查 2376 端口是否正常运行：

netstat -nltp | grep 2376

4. IDEA 配置

在 IDEA 中配置 Docker 的 TLS 认证，按以下步骤操作：

       
            
                 
      
       org.springframework.boot
                  
      
       spring-boot-maven-plugin
              
             
                 
      
       com.spotify
                  
      
       docker-maven-plugin
                  
      
       1.0.0
                  
                      
                           
        
         build-image
                            
        
         package
                            
         
         
          build
          
                        
                   
                  
                      
       
        ${project.artifactId}
                       
                           
        
         latest
                        
                       
       
        openjdk:8-jdk-alpine
                       
       
        /
                       
       
        ["java","-jar","${project.build.finalName}.jar"]
                       
       
        https://a.youlai.store:2376
                       
       
        C:\certs\docker\a.youlai.store
                       
                           
         
         
          /
          
         
          ${project.build.directory}
          
         
          ${project.build.finalName}.jar
          
                        
                   
              
         
    
   

5. 打包测试

完成以上配置后，可以运行以下命令进行打包测试：

mvn clean package docker:build

结语

通过以上步骤，我们成功配置了 Docker API 的 TLS 加密，避免了 2375 端口的安全隐患。如果您在实际操作中遇到问题，欢迎在评论区留言，我会第一时间为您解答！

转载地址：http://noxuz.baihongyu.com/