gpt4 book ai didi

security - 为什么将 docker daemon 绑定(bind)到 0.0.0.0 容易受到攻击?

转载 作者:行者123 更新时间:2023-12-02 18:54:31 25 4
gpt4 key购买 nike

最近我的 docker gitlab CI 容器出现错误:

无法连接到 Docker 守护程序。 docker 守护进程是否在此主机上运行?

我发现这个线程在 one post suggests :
sudo service docker stop && sudo nohup docker daemon -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock &

最终我在我的服务器主机上收到了一个滥用警告,说我的机器正在通过端口 2375 进行端口扫描

我找到了 https://hub.docker.com/r/kannix/monero-miner/ 的一个实例
杀了它十次,最后重启了,之后就再也没有回来过。

This site表示有一个:

A vulnerability in the Docker Engine configuration of Cisco CloudCenter Orchestrator (CCO; formerly CliQr) could allow an unauthenticated, remote attacker to install Docker containers with high privileges on the affected system. Affected Products: This vulnerability affect all releases of Cisco CloudCenter Orchestrator (CCO) deployments where the Docker Engine TCP port 2375 is open on the system and bound to local address 0.0.0.0 (any interface).



所以我的问题是:上述方式(绑定(bind)到 tcp://0.0.0.0:2375)是启动 docker 守护进程本身易受攻击的方式(如果是,为什么?)还是 docker 中的错误?

最佳答案

“任何接口(interface)”意味着您希望 docker 守护进程监听所有网络接口(interface)上的传入连接,而不仅仅是 localhost。这意味着任何可以访问服务器的人都可以连接到端口 2375 并访问 Docker 守护程序并利用它。 “高权限”是“root”,因此您的系统受到威胁,应该从头开始重新安装。

解决这个问题的简单方法是说您应该只能从受信任的主机连接到 docker 守护程序,这反过来意味着选择要绑定(bind)到的网络接口(interface)。一个典型的选择是“localhost”,因为它只允许来自机器本身的连接。

关于security - 为什么将 docker daemon 绑定(bind)到 0.0.0.0 容易受到攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46742449/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com