Security 为什么将docker守护程序绑定到0.0.0.0易受攻击?
最近,我的docker gitlab CI容器中出现错误: 无法连接到Docker守护程序。docker守护进程是否在此主机上运行 我在以下位置找到此线程:Security 为什么将docker守护程序绑定到0.0.0.0易受攻击?,security,docker,continuous-integration,port,Security,Docker,Continuous Integration,Port,最近,我的docker gitlab CI容器中出现错误: 无法连接到Docker守护程序。docker守护进程是否在此主机上运行 我在以下位置找到此线程: sudo服务docker停止和sudo nohup docker守护程序-Htcp://0.0.0.0:2375 -Hunix:///var/run/docker.sock & 最后,我在我的服务器主机上收到了一个滥用警告,我的盒子正在端口2375上进行端口扫描 我找到了一个 杀了它十次,最后重新启动,之后就再也没有回来过 表示存在以下问
sudo服务docker停止和sudo nohup docker守护程序-Htcp://0.0.0.0:2375 -Hunix:///var/run/docker.sock &
最后,我在我的服务器主机上收到了一个滥用警告,我的盒子正在端口2375上进行端口扫描
我找到了一个
杀了它十次,最后重新启动,之后就再也没有回来过
表示存在以下问题:
Cisco Docker引擎配置中存在漏洞
CloudCenter Orchestrator(CCO;前身为CliQr)可以允许
未经验证的远程攻击者安装具有
受影响系统上的高权限。受影响产品:本
该漏洞影响Cisco CloudCenter Orchestrator的所有版本
(CCO)Docker引擎TCP端口2375在服务器上打开的部署
系统,并绑定到本地地址0.0.0.0(任何接口)
因此,我的问题是:上述方式(对tcp://0.0.0.0:2375)要启动docker daemon(如果是,为什么?)或者它是docker中的一个bug?“任何接口”意味着您希望docker daemon侦听所有网络接口上的传入连接,而不仅仅是本地主机。这意味着任何能够访问服务器的人都可以连接到端口2375,访问Docker守护进程并利用它。“High privileges”是“root”,因此您的系统已受损,应该从头开始重新安装
解决这个问题的简单方法是,您应该只能从受信任的主机连接到docker守护进程,这反过来意味着选择要绑定到的网络接口。典型的选择是“localhost”,因为这只允许从机器本身进行连接。OK!因此,这篇文章中的评论似乎是危险和误导的!我倾向于报告——你同意吗?如果你把这样的事情搞砸了,你应该知道你在说什么。如果你纠正别人,更是如此。我建议你寻求更多的洞察力,然后自己决定。