Workshop: Aspectos de seguridad en Docker

Clase 12 de 22 • Fundamentos de Docker 2017

Comentarios

Joaquin Araujo

student•

Pasos para configurar Docker con TLS:

mkdir docker-ca
cd docker-ca
openssl genrsa -aes256 -out ca-key.pem 2048
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
openssl genrsa -out server-key.pem 2048
openssl req -subj "/CN=[hostname]" -new -key server-key.pem -out server.csr
echo "subjectAltName = IP:[IP/127.0.0.1]" > extfile.cnf
openssl x509 -req -days 365 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa -out client-key.pem 2048
openssl req -subj "/CN=client" -new -key client-key.pem -out client.csr
echo "extendedKeyUsage = clientAuth" > extfile.cnf
openssl x506 -req -days 365 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem -extfile extfile.cnf

Si necesitas una guía y resumen del curso aquí la tienes.

Joaquin Araujo

student•

Pasos para asegurar las claves:

Asegurar las claves del cliente y el servidor de modo que solo puedan ser leídas por el usuario actual: chmod -v 0400 ca-key.pem client-key.pem server-key.pem
Remover el acceso de escritura a todos los certificados: chmod -v 0444 ca.pem client-cert.pem server-cert.pem
Crear la carpeta /etc/docker en caso de que no exista.
Cambiar los permisos de la carpeta /etc/docker: sudo chown <username>:docker /etc/docker sudo chmod 700 /etc/docker
Copiar las claves del servidor a la nueva carpeta: sudo cp ~/docker-ca/{ca, server-key, server-cert}.pem /etc/docker

Joaquin Araujo

student•

Pasos para usar Docker con TLS:

Iniciar el servicio con los siguientes parámetros:

DOCKER_OPTS="-H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem" &

Reiniciar el servicio de Docker en caso de ser necesario: sudo service docker restart
Utilizar las credenciales correspondientes en el cliente (carpeta docker-ca):

docker --tlsverify --tlscacert=./ca.pem --tlscert=./client-cert.pen --tlskey=./client-key.pem -H tcp://127.0.0.1:2376

Carlos Enrique Navia Torres

student•

con el servidor b no puedo reproducir el video...

Maximiliano Sarlija

student•

Para los que tengan el problema de : Subject does not start with ‘/’.
problems making Certificate Request

Debes utilizar “//CN=localhost” en la linea vista

LUIS ALVEAR CORONEL

student•

No es el video del worshop del día 3, sino el vídeo de la clase del día 2, ayuda por favor

Ayoze Marcelino Rodriguez

student•

En el server A se ve el video incorrecto como dice luchoalco

Nicole Chapaval

Team Platzi•

Ya lo arreglamos :)

Jose Meira

student•

No he entendido muy bien la parte del crear el CSR para el servidor…
"/CN=localhost", entiendo que es porque el servidor es la misma máquina en la que estamos trabajando… si fuese una externa, llegaría con poner la IP? Se pueden incluir varias IPs en el CN?

Y, para la firma de la clave del servidor con el CSR con el CA, “subjectAltName = IP: 127.0.0.1” … ? puedo incluir alguna IP más, como las separo?

Alguien podría dejar un ejemplo de un cliente separado de un servidor?

Saludos.

Rosario Nery Huanca Gonza

student•

Para el certificado del servidor yo use

$ echo -e "subjectAltName = @alt_names\n[alt_names]\nIP.1 = 192.168.56.10\nIP.2 = 127.0.0.1" > extfile.cnf
$ openssl x509 -req -days 365 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

Jennifer Puerta

student•

Ayuda por favor:

Tengo ubuntu server 18.04 y docker 18.05. Realice las siguientes acciones y no consigo levantar nuevamente al servicio docker:

1.- Detuve mi servicio .
2.- Ejecute lo siguiente: sudo dockerd -H tcp://0.0.0.0:2375 --tlsverify --tlscacert=./ca.pem --tlscert=./server-cert.pem --tlskey=./server-key.pem & y me indicó que el demonio habia sido inicializado.
3.- Intento un sudo docker ps y me indica que el demonio no esta corriendo.
4.- export DOCKER_HOST="tcp://localhost:2375"
5.- sudo service docker restart y me arroja un error: Job for docker.service failed because the control process exited with error code. See “systemctl status docker.service” and “journalctl -xe” for details.

Cabe resaltar que al reiniciar el sistema, el servicio inicia de forma automatica de forma satisfactoria, solo que no logro aplicar el inicio de docker con TLS.

¿Alguna idea? Saludos y Gracias

Jennifer Puerta

student•

¿Nadie? Saludos

Jennifer Puerta

student•

Estoy atascada en esto. No quiero saltar esta lección. @GOLLUM23 o alguien que pueda ayudarme. Gracias!

Carlos Enrique Navia Torres

student•

hola quiero visualizar el video con este servidor y no lo puedo ver ayuda.

Abiel Magu

student•

No reproduce este video, por favor revisarlo, gracias!!

Uriel Ramírez

student•

Ya esta en el player A por si no te sirve el player

Kennedy ${{7*7}} Sanchez ${7*7}

student•

Hola Marcos y mi gente del Platzi Team.

Pudieran en algun futuro hacer un video de Continuous integration con Docker y Jenkins?

Saludos

Usuario anónimo

user•

Excelente clase :)

Saul Burgos

student•

Usando toolbox en windows. El cliente docker ya esta utilizando coneccion remota. SI usas el comando :

env | grep -i docker

Veran que la ip es la de virtual box. Nos estamos conectando a la maquina virtual por que el demonio esta ahi

Rodman M. Swanston C.

student•

Para hacer esto en Windows (o al menos a si lo logre, si hay otra forma de hacerlo me gustaria saber) se debe mover los archivos en C:\Users\nombre_user.docker\machine\certs a la raiz .docker

docker --tlsverify -H ipmaquinavirtual:2376 ps

Julio Yacot

student•

Impresionante los aportes de Marcos, me ha costado entender la metodología cliente-entidad certificadora-servidor, que curso me sugieren? quisiera usar https en mis aplicaciones y necesito entender bien su implementación

Jairo Eduardo Sánchez González

student•

ca-key.pem clave privada de la entidad certificante

José Antonio Arias Rodríguez

student•

Hola,

Alguien puede darme una referencia donde se este explicado a detalle el funcionamiento de las llaves y todo lo que se hizo para el tema de llaves

Diego Forero

Team Platzi•

En el curso de linux en los primeros materiales se enseña a crear llaves para conexión ssh, es aplicado igual a docker.

Específicamente en este material https://platzi.com/clases/linux/concepto/introduccion-a-linux9046/tmux-ssh/material/

Andres Leonardo Arevalo

student•

Paso #5. Crear una clave privada y un CSR para el cliente > openssl genrsa -out client-key.pem 2048 > openssl req -subj '/CN=client' -new -key client-key.pem -out client.csr

Andres Leonardo Arevalo

student•

Paso #6 Firmar la Clave del cliente con el CSR mediante nuestro CA

> echo "extendedKeyUsage = clientAuth" > extfile.cnf > openssl x509 -req -days 365 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem -extfile extfile.cnf

Andres Leonardo Arevalo

student•

Paso #6 Firmar la Clave del cliente con el CSR mediante nuestro CA

> echo "extendedKeyUsage = clientAuth" > extfile.cnf > openssl x509 -req -days 365 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem -extfile extfile.cnf

Sergio Andrés Celis León

student•

docker: ‘daemon’ is not a docker command.
a que se debe este error ?

Sergio Andrés Celis León

student•

el comando que uso

sudo docker daemon -H tcp://0.0.0.0:2375 --tlsverify --tlscacert=./ca.pem --tlscert=./server.cert.pem --tlskey=./server-key.pem &

David Toca

student•

pareciera que tuvieraa una version antigua de Docker, ese comando se introdujo en socker 1.8, revisa tu versión en intenta actualizar, también puedes probar con el.comando

docker -d

que es como funcionaba antes

Andres Leonardo Arevalo

student•

Paso # 1. Crear una Autoridad de Certificación CA. > openssl genrsa -aes256 -out ca-key.pem 2048

$ echo -e "subjectAltName = @alt_names\n[alt_names]\nIP.1 = 192.168.56.10\nIP.2 = 127.0.0.1" > extfile.cnf
$ openssl x509 -req -days 365 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

Workshop: Aspectos de seguridad en Docker

Bienvenido

Actualizaremos este curso pronto

Introducción a Docker

Workshop: Introducción a docker, ventajas y mitos

Introducción y fundamentos de Docker

Contenedores y VMs

Instalación

Docker Engine e Imágenes

Preguntas y respuestas

Dockerfiles y Volumenes

Workshop: Configuración avanzada del Docker Engine

Dockerfiles

Volúmenes

Preguntas y respuestas

Redes multi-host y Docker Swarm

Workshop: Aspectos de seguridad en Docker

Redes

Docker Machine

Docker Compose

Multi-host y Docker Swarm

Preguntas y respuestas

Contenido complementario

Optimizando el tamaño de las imágenes de Docker

Utilizando Docker en mi proceso de integración continua

Haciendo backups de archivos con Docker

Buenas prácticas para administrar los logs de mis contenedores

Sesiones en Vivo

Solución desafío 01