1.编辑 Docker 服务的配置文件 vi /usr/lib/systemd/system/docker.service 或者 vi /lib/systemd/system/docker.service ## 注意: 这两个配置文件都是一样的,只要修改一个即可. 修改 ExecStart 行,内容如下: ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock \ 2.重新加载配置后并启动 Do…
#### 1.环境准备 ```bash# 查看Docker服务器主机名hostnamectl``` ![1582697962553](C:\Users\86176\AppData\Roaming\Typora\typora-user-images\1582697962553.png) 这里记住我的主机名s130就好 ```bash# 静态主机名修改vi /etc/hostname# 临时主机名修改(重启失效)hostname s130 ``` #### 2.创建TLS证书 创建create_cr…
linux 测试成功 cat > /etc/systemd/system/docker.service.d/tcp.conf <<EOF [Service] ExecStart= ExecStart=/usr/bin/dockerd -H fd:// -H tcp://0.0.0.0:2375 EOF 另外一种:未测试 cat > /etc/systemd/system/docker.service.d/tcp.conf <<EOF [Service] ExecStar…
容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过 -P(大写) 或 -p (小写) 参数来指定端口映射. (1)当使用 -P 标记时,Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口. 使用 docker ps 可以看到,本地主机的 49155 被映射到了容器的 5000 端口.此时访问本机的 49155 端口即可访问容器内 web 应用提供的界面. $ sudo docker run -d -P training/webapp python…
通过 TLS来进行远程访问 百度百科 - TLS.我们需要在远程 docker 服务器(运行 docker 守护进程的服务器)生成 CA 证书,服务器证书,服务器密钥,然后自签名,再颁发给需要连接远程 docker 容器的服务器 之前对生成docker的tls证书的不是很理解,学习了一下,写了一个脚本直接生成docker需要的证书,下面有脚本的所有代码 主要流程有三步 1.生成 CA 密钥和证书 #生成ca私钥(使用aes256加密) read -s PASSWORD openssl genrs…
1.创建容器 docker run -d -it -h dd -p --name bbbbb centos dd 是用户名 --name 后面是容器名字 2.在我们开始安装Nginx及其他所需软件之前先安装一些前提软 yum install python-setuptools yum -y install epel-release yum install python-pip pip install --upgrade pip yum install virtualenv 3.安装并运行Ngin…
注:192.168.1.203机器上装有docker,容器在该机器上 mysql> use mysql; mysql> update user set authentication_string = password('') where user = 'root'; mysql> GRANT ALL PRIVILEGES ON *.* TO 'root'@'' WITH GRANT OPTION; mysql> GRANT ALL PRIVILEGES ON *.* TO 'roo…
docker开启2375会存在安全漏洞 暴露了2375端口的Docker主机.因为没有任何加密和认证过程,知道了主机IP以后,,任何人都可以管理这台主机上的容器和镜像,以前贪图方便,只开启了没有认证的docker2375端口,后来被黑客通过这个端口推送了一个挖矿木马病毒的镜像并运行,所以非测试开发环境的话,还是要开启需要安全认证的tcp端口 docker开启非认证的端口 推送springboot编译的镜像到远程的docker服务器:https://blog.csdn.net/qq_2118751…
1.环境准备 # 查看Docker服务器主机名hostnamectl 这里记住我的主机名s130就好 # 静态主机名修改vi /etc/hostname# 临时主机名修改(重启失效)hostname s130   2.创建TLS证书 创建create_crets.sh文件并执行,生成的证书在/certs/docker目录下, # create_crets.sh,将[证书生成脚本]内容复制进去touch create_crets.sh chmod 755 create_crets.sh # 证书生…
前言 在学校学习的时候,要部署一个Java程序,一般是打成war包,放到服务器上的tomcat的webapp里面去: 后来SpringBoot出现内置了tomcat,就直接打成jar包,丢到服务器任何一个目录,只要服务器上安装了Java即可: Docker出现以后,可以通过编写Dockerfile将jar包和Java环境集成到一个镜像里面,更加方便了: 在公司则是使用持续部署和持续集成,通过在gitlab上设置webhook触发k8s来拉取代码自己编译部署集成. 技术一直在发展,越来越自动化,使…
一. 前言 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题. 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门. 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被截权,一台ucloud服务器被挖矿内存被打满.意味着环境都要重新装了,想洗洗睡的心都有了,做人真的不能装~ 二. 实操 1.…
在作为docker远程服务的centos7机器中配置: 1.在/usr/lib/systemd/system/docker.service,配置远程访问.主要是在[Service]这个部分,加上下面两个参数 # vim /usr/lib/systemd/system/docker.service [Service] ExecStart= ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock 2…
嘿,大家好,今天更新的内容是docker开启2376端口CA认证及IDEA中一键部署docker项目... 先看效果 我们可以通过idea一键部署docker项目,还以通过idea的控制台实时查看容器内部的日志 Docker CA认证 1.创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2.创建密码 需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3.依次输入…
Docker常见端口 我看到的常见docker端口包括: 2375:未加密的docker socket,远程root无密码访问主机2376:tls加密套接字,很可能这是您的CI服务器4243端口作为https 443端口的修改2377:群集模式套接字,适用于群集管理器,不适用于docker客户端5000:docker注册服务4789和7946:覆盖网络 开启配置 方法一 首先是怎么配置远程访问的API: sudo vim /etc/default/docker 加入下面一行 DOCKER_OPT…
1.编辑docker文件:/usr/lib/systemd/system/docker.service vi /usr/lib/systemd/system/docker.service 2.ExecStart属性添加参数 -H tcp://0.0.0.0:2375 3.加载docker守护线程 systemctl daemon-reload 4.重启docker systemctl restart docker 5.测试是否开启成功 curl http://localhost:2375/ver…
1.  按照网上的教程修改了 /usr/lib/systemd/system/docerk.service配置后,重启失败.修改/etc/docker/daemon.json 增加hosts后重启也是如此.反复操作了几次之后依旧启动报错. [root@web-dev1 system]# systemctl daemon-reload [root@web-dev1 system]# systemctl start docker Job for docker.service failed becau…
前言:Docker直接开启2375端口是不安全的,别人只要连上之后就可以任意操作,下面是开启Docker的TLS和CA认证方法,并使用Jenkins和Portainer连接. 一.生成证书 查看服务器主机名 hostname auto-generate-docker-tls-ca.sh # !/bin/bash # 一键生成TLS和CA证书 # Create : 2021-08-25 # Update : 2021-08-25 # @Autor : wuduoqiang # 服务器主机名 SER…
一.启动mongo容器的几种方式 #简化版 docker run --name mongo1 -p 21117:27017 -d mongo --noprealloc --smallfiles #自定义mongo数据路径 docker run --name mongo_rs1 -v ~/test/mongo_sr1:/mongodb -p 37117:27017 -d mongo mongod --logpath /mongodb/mongo.log --logappend --dbpath /…
#docker版本:18.09.0,最好保证客户端端口和服务端端口相同 [root@Centos7 ~]# dockerd-ce -v Docker version , build 4d60db4 网络环境概述 server: client:192.168.100.8 #docker默认只提供本地unix,sock文件的连接方式,让docker能够监听tcp端口还需要进行一些配置. 1.跳转docker启动文件,定义启动时执行的参数. #dockerd -H 参数指定docker应用程序监听方式…
首先要下载swarm docker pull swarm 然后停掉docker服务: service docker stop 然后启动deamon: sudo dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock & 查看是否监听2375端口: netstat -ant…
此篇是针对centos6的docker,注意ubantu和centos7的会有区别. 需要在docker配置文件中修改信息 centos中是这个文件 /etc/sysconfig/docker,Ubuntu中不同.可以 使用find / -name docker可以找到此文件. vim /etc/sysconfig/docker DOCKER_OPTS="-H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock" 使用netstat -a…
date: 2019-08-03   21:39:37 author: headsen chen apt-get install apt-transport-https ca-certificates curl software-properties-common curl -fsSL https://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo apt-key add - apt-key fingerprint 0EBFCD88 ad…
目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名请求 生成 CA 证书和私钥 创建 kubernetes 证书 生成 kubernetes 证书和私钥 创建 admin 证书 生成 admin 证书和私钥 创建 kube-proxy 证书 生成 kube-proxy 客户端证书和私钥 校验证书 使用 opsnssl 命令 使用 cfssl-cer…
目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名请求 生成 CA 证书和私钥 创建 kubernetes 证书 生成 kubernetes 证书和私钥 创建 admin 证书 生成 admin 证书和私钥 创建 kube-proxy 证书 生成 kube-proxy 客户端证书和私钥 校验证书 使用 opsnssl 命令 使用 cfssl-cer…
1.1 MySQL开启SSL认证 #生成一个 CA 私钥 [root@db01 ssl]# openssl genrsa 2048 > ca-key.pem Generating RSA private key, 2048 bit long modulus ..........+++ .............................+++ e is 65537 (0x10001) #通过 CA 私钥生成数字证书 [root@db01 ssl]# openssl req -new -x5…
原文地址:https://blog.csdn.net/uncle_david/article/details/78713551 对于搭建好的mongodb副本集加分片集群,为了安全,启动安全认证,使用账号密码登录. 默认的mongodb是不设置认证的.只要ip和端口正确就能连接,这样是不安全的.mongodb官网上也说,为了能保障mongodb的安全可以做以下几个步骤: 1.使用新的端口,默认的27017端口如果一旦知道了ip就能连接上,不太安全 2.设置mongodb的网络环境,最好将mong…
目录 1.1 不安全的远程访问方式 1.1.1 编辑docker.service文件: 1.1.2 重新加载Docker配置生效 1.1.3 警告! 2.1 建立基于TLS数字签名的安全连接 1.1 不安全的远程访问方式 1.1.1 编辑docker.service文件: vi /usr/lib/systemd/system/docker.service 找到 [Service] 节点,修改 ExecStart 属性,增加 -H tcp://0.0.0.0:2375 ExecStart=/usr…
关于安全认证得总结: 这个讲述的步骤也是先创建超管用户,关闭服务,然后生成密钥文件,开启安全认证,启动服务 相关概念 先来看一张图: 从图中可以看到有四个组件:mongos.config server.shard.replica set. mongos,数据库集群请求的入口,所有的请求都通过mongos进行协调,不需要在应用程序添加一个路由选择器,mongos自己就是一个请求分发中心,它负责把对应的数据请求请求转发到对应的shard服务器上.在生产环境通常有多mongos作为请求的入口,防止其中…
年初3月份时,拥有线下经营场所且开通微信认证的公众号可以开通微信连Wi-Fi接入,现在微信团队进一步开放了权限,非认证公众帐号也能申请微信连Wi-Fi了. 微信连Wi-Fi团队宣布,降低微信连Wi-Fi的准入门槛,面向所有公众号开放自助申请接口,未认证的公众号也可开通微信连Wi-Fi插件,向其用户提供微信连Wi-Fi服务. 微信连Wi-Fi怎么开通?未认证的商户公众帐号可按照原有的申请流程通过自助申请即可开通微信连Wi-Fi插件: 在微信公众平台(mp.weixin.qq.com)登陆公众号,进…
在生产环境中MongoDB已经使用有一段时间了,但对于MongoDB的数据存储一直没有使用到权限访问(MongoDB默认设置为无权限访问限制),最近在酷壳网看了一篇技术文章(https://coolshell.cn/?s=从+MONGODB+"赎金事件"+看安全问题&from=timeline&isappinstalled=0)介绍的mongodb未开启权限认证导致数据被黑客窃取,要比特币赎回的事件,考虑到数据安全的原因特地花了一点时间研究了一下,我现在用的版本是Mon…