Docker 火了：主机外可直接访问映射到 127.0.0.1 的服务

这两天有一篇关于黑客新闻的文章^[1] fire,这是给多克的安全团队的邮件,主要是关于多克有一个非常广泛的安全风险。-p 127.0.0.1:80:80如果这个参数将端口暴露于返回循环地址,外部用户仍可访问服务,会发生什么事?

原因很简单:多克增加了以下Iptables规则:

只要外部攻击者通过这个主机发送流量172.17.0.2:80将符合此规则,并成功地进入容器中的服务,没有用卵。

尴尬的是，选择映射港口的用户基本上认为这样做是安全的,他们已经不再想采取进一步的安全措施了。现在问题来了，不能说它很安全, 地图上.只能说它与安全无关。。。

概念验证

这里是一个验证的例子。

1 在机器A上运行一个PostgreSQL容器,并映射到该端口。

2同一网络中的B机器将路由表添加到所有访问中172.16.0.0/12流动指向A机器.

3在B机中扫描A机的终端。

4直接连接PostgreSQL到B机器。

解决方案

事实上,你不仅可以将容器端口映射到主机上任何可以外部访问的地址上。

电子邮件作者向多克团队提出了一个解决方案,希望优化多克的iptables规则:

首先,严格限制允许访问容器端口的源地址和网络接口,例如docker run -p 127.0.0.1:5432:5432原始表格规则如下:

改进的iptable规则如下:

同样,如果主机的地址是192.168.0.100，掩码为24，那么docker run -p 192.168.0.100:5432:5432iptables规则应该是:

最后,如果使用,修改默认的行为-p如果参数中没有指定IP地址, 默认地图是为.

尽管许多评论家建议增加iptables规则来限制使用,但这是不现实的,全世界有数千用户使用它-p该参数将容器端口映射到,攻击者估计该漏洞已经被检测出来,我们不能期望用户添加自己的iptables规则来限制外部访问,最好的方法是等待Docker正式修复错误,然后升级。

引用链接

[1]

黑客新闻上有一个广告:https://news.ycombinator.com/item?id=31839936

你可能还喜欢

点击下面的图片阅读

解决K8s调度失衡问题

2022-06-24

为什么eBPF如此受欢迎?

2022-06-23

Kubernetes架构工作队列分析

2022-06-20

MacOS使用指纹解锁sudo密码

2022-06-19

KubernetesTrans-StorageClass Transfer Storage完整的指南

2022-06-18

云原生是一种信仰?

关注公众号

后端响应 • k8s • 获取历史上最简单的和最快的Kubernet部署工具,只有一个命令,甚至ssh也不需要!

点击“原文阅读”来获得更好的阅读体验!

你发现你的朋友和家人变得“ 安静 ” 吗?