#### 1.环境准备 ```bash# 查看Docker服务器主机名hostnamectl```  这里记住我的主机名s130就好 ```bash# 静态主机名修改vi /etc/hostname# 临时主机名修改(重启失效)hostname s130 ``` #### 2.创建TLS证书 创建create_cr…

通过 TLS来进行远程访问 百度百科 - TLS.我们需要在远程 docker 服务器(运行 docker 守护进程的服务器)生成 CA 证书,服务器证书,服务器密钥,然后自签名,再颁发给需要连接远程 docker 容器的服务器 之前对生成docker的tls证书的不是很理解,学习了一下,写了一个脚本直接生成docker需要的证书,下面有脚本的所有代码 主要流程有三步 1.生成 CA 密钥和证书 #生成ca私钥(使用aes256加密) read -s PASSWORD openssl genrs…

1.编辑 Docker 服务的配置文件 vi /usr/lib/systemd/system/docker.service 或者 vi /lib/systemd/system/docker.service ## 注意: 这两个配置文件都是一样的,只要修改一个即可. 修改 ExecStart 行,内容如下: ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock \ 2.重新加载配置后并启动 Do…

1.环境准备 # 查看Docker服务器主机名hostnamectl 这里记住我的主机名s130就好 # 静态主机名修改vi /etc/hostname# 临时主机名修改(重启失效)hostname s130   2.创建TLS证书 创建create_crets.sh文件并执行,生成的证书在/certs/docker目录下, # create_crets.sh,将[证书生成脚本]内容复制进去touch create_crets.sh chmod 755 create_crets.sh # 证书生…

Docker常见端口 我看到的常见docker端口包括: 2375:未加密的docker socket,远程root无密码访问主机2376:tls加密套接字,很可能这是您的CI服务器4243端口作为https 443端口的修改2377:群集模式套接字,适用于群集管理器,不适用于docker客户端5000:docker注册服务4789和7946:覆盖网络 开启配置 方法一 首先是怎么配置远程访问的API: sudo vim /etc/default/docker 加入下面一行 DOCKER_OPT…

一. 前言 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题. 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门. 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被截权,一台ucloud服务器被挖矿内存被打满.意味着环境都要重新装了,想洗洗睡的心都有了,做人真的不能装~ 二. 实操 1.…

docker开启2375会存在安全漏洞 暴露了2375端口的Docker主机.因为没有任何加密和认证过程,知道了主机IP以后,,任何人都可以管理这台主机上的容器和镜像,以前贪图方便,只开启了没有认证的docker2375端口,后来被黑客通过这个端口推送了一个挖矿木马病毒的镜像并运行,所以非测试开发环境的话,还是要开启需要安全认证的tcp端口 docker开启非认证的端口 推送springboot编译的镜像到远程的docker服务器:https://blog.csdn.net/qq_2118751…

前言:Docker直接开启2375端口是不安全的,别人只要连上之后就可以任意操作,下面是开启Docker的TLS和CA认证方法,并使用Jenkins和Portainer连接. 一.生成证书 查看服务器主机名 hostname auto-generate-docker-tls-ca.sh # !/bin/bash # 一键生成TLS和CA证书 # Create : 2021-08-25 # Update : 2021-08-25 # @Autor : wuduoqiang # 服务器主机名 SER…

首先要下载swarm docker pull swarm 然后停掉docker服务: service docker stop 然后启动deamon: sudo dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock & 查看是否监听2375端口: netstat -ant…

目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名请求 生成 CA 证书和私钥 创建 kubernetes 证书 生成 kubernetes 证书和私钥 创建 admin 证书 生成 admin 证书和私钥 创建 kube-proxy 证书 生成 kube-proxy 客户端证书和私钥 校验证书 使用 opsnssl 命令 使用 cfssl-cer…

目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名请求 生成 CA 证书和私钥 创建 kubernetes 证书 生成 kubernetes 证书和私钥 创建 admin 证书 生成 admin 证书和私钥 创建 kube-proxy 证书 生成 kube-proxy 客户端证书和私钥 校验证书 使用 opsnssl 命令 使用 cfssl-cer…

如果我们通过docker来整合spring cloud项目,可以通过maven-docker插件将构建好的镜像直接推送到docker服务器上,但是生产环境建议关闭该功能,为了安全考虑.开启tcp远程监听端口示例如下: 开启docker apiserver的2375管理端口,本示例在CentOS7环境下.编辑docker.service文件,修改ExecStart参数,添加-H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock执行:vi ./usr/…

转自: https://mritd.me/2018/01/07/kubernetes-tls-bootstrapping-note/ 前段时间撸了一会 Kubernetes 官方文档,在查看 TLS bootstrapping 这块是发现已经跟 1.4 的时候完全不一样了:目前所有搭建文档也都保留着 1.4 时代的配置,在看完文档后发现目前配置有很多问题,同时也埋下了 隐藏炸弹,这个问题可能会在一年后爆发-..后果就是集群 node 全部掉线:所以仔细的撸了一下这个文档,从元旦到写此文章的时间都…

1. 回顾 上一篇博客讲解了Eureka集群及将微服务注册到集群上.在前面的讲解中,Eureka Server都是允许匿名访问的,本次将讲解如何构建一个需要登录才能访问的Eureka Server. 2. 为Eureka Server添加用户认证 > 复制项目 microservice-discovery-eureka,将ArtifactId修改为 microservice-discovery-eureka-authenticating. > 在pom.xml中添加spring-boot-st…

前言 前面篇章的gRPC都是明文传输的,容易被篡改数据.本章将介绍如何为gRPC添加安全机制,包括TLS证书认证和Token认证. TLS证书认证 什么是TLS TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能. TLS的作用 TLS协议主要解决如下三个网络安全问题. 保密(messag…

一.TLS认证简介 1.TLS认证 (1)认证过程 · 最安全认证技术 · 实施最复杂 (2)TLS双向证书认证 · 服务器对客户端进行认证 · 客户端对服务器进行认证 2.TLS认证过程 3.交换机认证模式 (1)MAC认证模式 · 该模式下连接到同一端口的每个设备都需要单独进行认证: · 华为交换机默认模式. (2)端口认证模式 · 只要连接到端口的某个客户端通过认证: · 其它客户端则不需要认证,就可以访问网络资源. 4.测试组网 (1)组网说明 · 交换机使用华为的S5720: · 服务…

IdentityServer4 中文文档 -12- (快速入门)添加外部认证支持 原文:http://docs.identityserver.io/en/release/quickstarts/4_external_authentication.html 目 录 上一篇:IdentityServer4 中文文档 -11- (快速入门)添加基于 OpenID Connect 的用户认证 下一篇:IdentityServer4 中文文档 -13- (快速入门)切换到混合流并添加 API 访问 接下来…

利用OpenID Connect添加用户认证 利用OpenID Connect添加用户认证 在这个示例中我们想要通过OpenID Connect协议将交互用户添加到我们的IdentityServer上面. 准备就绪后,我们会创建一个MVC的应用来使用IdentityServer做认证. 添加UI 关于该协议支持所需要的一切都内建到了IdentityServer中,你需要为登陆.登出.确认和错误等提供必要的UI页面. 虽然在每一个实现了IdentityServer的服务中它所实现的外观和工作流程等…

背景 服务器ip:192.168.1.2 安装软件 nginx kibana(默认端口5601) 实现方案:访问http://192.168.1.2/kibana 即可访问到kibana后端,同时需要添加basic认证 1.准备密码文件 #yum install -y httpd-tools #htpasswd -c /opt/soft/nginx/conf/kibanauser admin 执行后会提示输入密码,admin为用户名,最后生成kibanauser文件 2.修改nginx配置文件…

Go gRPC 系列: 跟我一起学Go系列:gRPC 拦截器使用 跟我一起学Go系列:gRPC 入门必备 第一篇入门说过 gRPC 底层是基于 HTTP/2 协议的,HTTP 本身不带任何加密传输功能,基于 SSL 的 HTTPS 协议才是加密传输.gRPC 使用了 HTTP/2 协议但是并未使用 HTTPS,即少了加密传输的部分. 对于加密传输的部分 gRPC 将它抽出来作为一个组件,可以由用户自由选择.gRPC 内默认提供了两种 内置的认证方式: 基于 CA 证书的 SSL/TLS 认证方式…

前言 前面我们提到过IdentityServer4是可以添加外部认证的,如果外部认证支持OAuth2,那么添加到IdentityServer4是非常简单的,在ASP.NET Core下提供了非常多的外部认证实现,比如Google,Facebook,Twitter,Microsoft帐户和OpenID Connect等,但是对于我们国内来说最常用的莫过于QQ登录. 申请QQ登录 1.访问QQ互联官方网站:https://connect.qq.com/ 2.点击"应用管理"-> &q…

内容:本文带大家使用IdentityServer4进行使用OpenID Connect添加用户认证 作者:zara(张子浩) 欢迎分享,但需在文章鲜明处留下原文地址. 在这一篇文章中我们希望使用OpenID Connect这种方式来验证我们的MVC程序,我们首先需要干什么呢?那就是搞一个UI,这样非常美观既可以看到我们的身份验证效果,那么IdentityServer官方已经给我们提供了一套UI了,我们从哪里可以获取呢? 可以通过这个地址就行克隆安装到本地并附加到你的MVC程序中,地址.当然我们可…

一.概述 在前二篇中讲到了客户端授权的二种方式: GrantTypes.ClientCredentials凭据授权和GrantTypes.ResourceOwnerPassword密码授权,都是OAuth2.0协议.本篇使用OpenID Connect添加用户认证,客户端授权是GrantTypes.Implicit隐式流授权,是OCID协议. 本篇示例中只有二个项目:一个IdentityServer的mvc应用程序,一个客户端mvc应用程序(用户client端). 下面介绍身份认证交互流程: (…

注意 对于任何先决条件(例如模板),首先要查看概述. 接下来,我们将添加对外部认证的支持.这非常简单,因为您真正需要的是ASP.NET Core兼容的身份验证处理程序. ASP.NET Core本身支持Google,Facebook,Twitter,Microsoft Account和OpenID Connect.此外,你可以找到很多其他的认证供应商实现在这里. 12.1 添加Google支持 要使用Google进行身份验证,首先需要向他们注册.这是在他们的开发者控制台完成的.通过将/signi…

在 docker 启动文件添加默认环境系统配置 " /etc/default/docker ": 添加  Environment File 配置: # vi /usr/lib/systemd/system/docker.service 在 [Serivce] 下添加 EnvironmentFile=-/etc/default/docker #添加配置文件 在 [Install] 下添加 EnvironmentFile=-/etc/default/docker…

前面我们学了laravel dingo/api创建简单的api,这样api是开放给所有人的,如何查看和限制api的调用呢?可以用jwt-auth来验证,JSON Web Token Authentication 1,首先安装jwt-auth插件,在命令行中用composer安装 composer require tymon/jwt-auth '0.5.*' 2,然后发布 php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\…

WebApi必须保证安全,现在来添加JWT认证 1.打开appsettings.json添加JWT认证的配置信息 2.在项目根目录下新建一个Models文件夹,添加一个JwtSettings.cs的实体 namespace Dinner.WebApi.Models { public class JwtSettings { /// <summary> /// 证书颁发者 /// </summary> public string Issuer { get; set; } /// <…

.docker添加阿里云镜像加速器 https://blog.csdn.net/chenjin_chenjin/article/details/86674521 .配置阿里云加速器 阿里云会根据账号生成一个账号加速器地址,例如: https://k9e55i4n.mirror.aliyuncs.com 将加速器地址配置到docker的daemon.json文件中: # 编辑daemon.json vim /etc/docker/daemon.json # 设置加速器地址 { "registry-…

我们需要登录即可访问到Eureka服务,这样其实是不安全的 为Eureka添加用户认证. 第一步,为itcast-microservice-eureka添加安全认证依赖: 第二步,增加application.yml配置文件: security: basic: enable: true #开启基于HTTP basic的认证 user: #配置用户的账号信息 name: itcast password: itcast123 第三步,重新启动Eureka服务进行测试: 输入正确的用户名密码即可登录.…

Eureka Server添加用户认证 学习了:http://blog.csdn.net/liuchuanhong1/article/details/54729556 注意:1,需要使用 defaultZone,而不是default-zone: 2,在Eureka Server端需要进行用户认证配置: Eureka Server YAML文件: server: port: 8761 eureka: client: register-with-eureka: false fetch-registr…