CLOUD SECURITY LAB

🔐 使用SSH安全访问Docker Socket — 不要打开2375端口!

by

cslab
in

将Docker Socket直接暴露到互联网,无异于将服务器的root账户公之于众。

>

🎯 本文涵盖内容

  • Docker Socket (/var/run/docker.sock) 为何危险
  • 通过SSH隧道安全访问Docker Socket的3种方法
  • DOCKER_HOST环境变量与docker context的比较
  • CI/CD流水线中的实际应用
  • 容易忽视的安全错误集合

📌 引入 / 背景

当您想管理远程服务器上的Docker时,首先想到的方法通常是打开Docker守护进程的TCP端口(2375或2376)并从外部访问它。

但是等等,这是一个非常危险的选择

Docker守护进程默认在Unix Socket上监听来自本地客户端的请求。如果将其通过TCP开放,会发生什么?

由于Docker守护进程在主机系统上以root权限运行,未经认证即可访问其API,这等同于将服务器的root访问权限暴露给全世界。

实际上,将2375端口开放到互联网的服务器,在几分钟内就会被机器人发现,并部署恶意容器。导致加密货币挖矿、勒索软件、后门安装的案例屡见不鲜。

那么,如何才能安全地远程管理Docker呢?答案就是SSH隧道

🔍 Docker Socket与SSH隧道的概念

什么是Docker Socket?

它是Docker CLI(docker命令)与Docker守护进程通信的通道。默认路径是/var/run/docker.sock,所有Docker命令都通过这个Unix Socket文件进行处理。

[docker CLI] ──── /var/run/docker.sock ──── [dockerd 데몬]

什么是SSH隧道?

它是一种在SSH连接之上安全传输其他协议流量的技术。由于SSH已经处理了加密、认证和完整性验证,因此无需单独的TLS配置即可实现安全通信。

💻 方法1: 使用SSH本地端口转发进行Socket隧道(最基本的方法)

这种方式将远程服务器的Docker Socket转发到本地端口。

# 将本地端口2375转发到远程服务器的Docker Socket
ssh -L localhost:2375:/var/run/docker.sock user@REMOTE_HOST -fN

各选项说明:

  • -L localhost:2375:/var/run/docker.sock : 将本地2375端口连接到远程Socket
  • -f : 在后台运行
  • -N : 仅维持隧道,不执行远程命令

隧道建立后,设置环境变量使Docker CLI使用此隧道:

export DOCKER_HOST=tcp://localhost:2375
docker ps       # 列出远程服务器上的容器
docker images   # 列出远程服务器上的镜像

这种方法的优点是,它不将端口暴露到互联网,并直接利用SSH经过验证的认证方式(密钥、MFA等)。

终止隧道时:

# 查找隧道进程
ps aux | grep ssh

# 通过PID终止
kill $PID

# 解除DOCKER_HOST
unset DOCKER_HOST

💻 方法2: 在DOCKER_HOST中使用ssh://方案 (Docker 18.09+)

从Docker 18.09版本开始,原生支持SSH。无需单独创建隧道,可以直接在DOCKER_HOST环境变量中指定SSH地址。

# 环境变量方式(临时)
export DOCKER_HOST=ssh://docker-user@host1.example.com
docker ps
docker run -d nginx

# 使用后恢复原状
unset DOCKER_HOST

这种方式无需单独创建上下文,因此在临时连接其他引擎时非常有用。

⚠️ 重要: ssh://方式必须使用SSH密钥认证。Docker不支持密码认证,并且在基于DOCKER_HOST的配置中无法实现。

SSH密钥注册:

# 生成密钥
ssh-keygen -t ed25519 -C "docker-remote-key"

# 在远程服务器上注册公钥
ssh-copy-id docker-user@host1.example.com

# 将密钥添加到ssh-agent
ssh-add ~/.ssh/id_ed25519

SSH连接优化 (~/.ssh/config):

Host docker-remote
    HostName host1.example.com
    User docker-user
    IdentityFile ~/.ssh/id_ed25519
    ControlMaster auto
    ControlPath ~/.ssh/control-%C
    ControlPersist yes

通过ControlMaster和ControlPersist设置,可以将一个SSH连接重用于多个docker CLI调用,从而避免每次重复握手。

之后使用起来会更加简洁:

export DOCKER_HOST=ssh://docker-remote
docker ps

💻 方法3: 使用docker context管理远程引擎(推荐用于生产环境)

如果需要频繁管理多个远程服务器,docker context是最佳的解决方案。

# 创建远程上下文
docker context create my-remote-engine 
  --docker "host=ssh://docker-user@host1.example.com" 
  --description "Production Server"

# 检查上下文列表
docker context ls

# 切换上下文
docker context use my-remote-engine

# 现在所有docker命令都将在远程服务器上执行
docker ps
docker run -d --name web nginx

# 返回本地
docker context use default

创建远程引擎上下文后,通过docker context use激活,VS Code和Docker CLI都将使用该远程机器上下文。

💻 方法4: 在CI/CD流水线中应用

这是在GitHub Actions、GitLab CI、Jenkins等工具中部署到远程Docker主机时非常有用的模式。

#!/bin/bash
# deploy.sh — CI/CD远程部署脚本

SSH_USER="deploy"
SSH_HOST="prod.example.com"

# 只需设置环境变量即可(SSH密钥已在CI secrets中注册)
export DOCKER_HOST="ssh://${SSH_USER}@${SSH_HOST}"

# 拉取镜像并重新部署容器
docker pull myapp:latest
docker stop myapp || true
docker rm myapp || true
docker run -d 
  --name myapp 
  --restart unless-stopped 
  -p 80:8080 
  myapp:latest

echo "✅ 배포 완료"
unset DOCKER_HOST

GitLab CI示例:

# .gitlab-ci.yml
deploy:
  stage: deploy
  image: docker:latest
  before_script:
    - eval $(ssh-agent -s)
    - echo "$SSH_PRIVATE_KEY" | ssh-add -
    - mkdir -p ~/.ssh
    - ssh-keyscan $PROD_HOST >> ~/.ssh/known_hosts
  script:
    - export DOCKER_HOST="ssh://deploy@$PROD_HOST"
    - docker pull $CI_REGISTRY_IMAGE:latest
    - docker run -d --name app $CI_REGISTRY_IMAGE:latest

⚠️ 注意事项 / 常见错误

① known_hosts未注册错误

首次连接时,由于主机密钥验证失败,连接将被拒绝。

# 必须先在known_hosts中注册
ssh-keyscan -H host1.example.com >> ~/.ssh/known_hosts
# 或者直接SSH连接一次进行确认
ssh docker-user@host1.example.com

② SSH密钥密码短语问题

如果密钥设置了密码短语,每次docker命令都会请求密码。需要提前将密钥注册到ssh-agent中。

eval $(ssh-agent -s)
ssh-add ~/.ssh/id_ed25519
# 注册确认
ssh-add -l

③ 远程用户未加入docker组

在远程主机上,SSH_USER必须是具有Docker Socket访问权限的用户(例如:docker组成员)。

# 在远程服务器上执行
sudo usermod -aG docker docker-user
# 应用组更改(需要注销并重新登录)

④ 切勿将TCP端口直接暴露到互联网

# ❌ 绝对禁止 — 向所有IP开放端口
"hosts": ["unix:///var/run/docker.sock", "tcp://0.0.0.0:2375"]

# ✅ 仅允许回环(用于本地SSH隧道)
"hosts": ["unix:///var/run/docker.sock", "tcp://127.0.0.1:2375"]

✅ 总结 / 结束语
方法 优点 适用场景
ssh -L 端口转发 最灵活,控制精细 临时连接,传统环境
DOCKER_HOST=ssh:// 设置简单,无需额外软件 快速临时连接,CI/CD
docker context 多服务器管理优化 生产环境,日常远程管理

再次总结核心要点:

  • Docker Socket绝不能直接暴露到互联网
  • SSH隧道是无需额外基础设施即可使用的最安全的远程访问方法
  • Docker 18.09及更高版本原生支持ssh://方案,配置大大简化
  • 在生产环境中,使用docker context系统地管理远程主机

下一步可以考虑探索使用TLS相互认证方式或Tailscale/ZeroTier等零信任网络来访问Docker远程访问方式。

Comments

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注