IDEA花裏胡哨地安全連接到Docker(CA認證方式防止挖礦程序xmrig入侵)

在上一篇文章(IDEA中花裏胡哨地使用Docker)中使用的是適合內網的方式讓IDEA操作docker,嗯.然後如果想讓暴露在外網的docker.如何被idea安全連接呢?如何避免被植入礦機?如:xmrig.看來又是篇花裏胡哨的文章了

配置ca認證

參考地址(官方):https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl

比如我們在騰訊雲租了個便宜centos的服務器.並且安裝了docker+docker-compose,那麼按照下面步驟操作

1. 先在/usr/local目錄下創建個文件夾,這裏取名叫ca,然後進入ca文件夾中

mkdir -p /usr/local/ca
cd /usr/local/ca

2. 依次執行下面的命令,需要輸入密碼,自由指定,兩次輸入保持一致並記住即可.因爲等下我們要用

openssl genrsa -aes256 -out ca-key.pem 4096

3. 先輸入上面設置的密碼,然後根據提示分別輸入國家,省份,城市,組織,等一系列信息

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

4. 生成server-key.pem

openssl genrsa -out server-key.pem 4096

5. 把下面的$Host換成你自己服務器外網的IP或者域名:比如:openssl req -subj “/CN=192.168.1.195” -sha256…,我用的是IP

openssl req -subj "/CN=192.168.1.195" -sha256 -new -key server-key.pem -out server.csr

6. 配置白名單,允許哪些ip(以逗號分隔開)可以連接到服務器的docker(條件:只有擁有證書的纔可以連接成功),這樣配置好之後其他IP也可以訪問到.因爲不想設置限制IP,所以0.0.0.0(注意如果用域名話就把 IP:192.168.1.195替換成DNS:域名)

echo subjectAltName = IP:192.168.1.195,IP:0.0.0.0 >> extfile.cnf

7. 執行下面語句

echo extendedKeyUsage = serverAuth >> extfile.cnf

8. 生成ca-key

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

9. 生成客戶端所需的key.pem

openssl genrsa -out key.pem 4096

10. 執行下面命令

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

11. 執行下面命令

echo extendedKeyUsage = clientAuth >> extfile.cnf

12. 生成cert.pem

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf

13. 修改權限

chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

14. 複製到docker目錄下

cp server-*.pem  /etc/docker/
cp ca.pem /etc/docker/

15. 修改docker配置文件

vim  /lib/systemd/system/docker.service

16. 將ExecStart替換成

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

17. 重新加載daemon

systemctl daemon-reload
systemctl restart docker

18. 開放2376端口

/sbin/iptables -I INPUT -p tcp --dport 2376 -j ACCEPT
iptables-save

19. 重啓

service docker restart

20. 騰訊雲安全組放開2376端口
    
21. 然後通過FileZilla Client或者FinalShell將/usr/local/ca文件夾裏的拷貝到你本地電腦
    
22. 配置IDEA 注意是https
    
    
    ok,歐耶,媽媽再也不擔心服務器被當成礦機了.