Security 为什么将docker守护程序绑定到0.0.0.0易受攻击？

最近，我的docker gitlab CI容器中出现错误：

无法连接到Docker守护程序。docker守护进程是否在此主机上运行

我在以下位置找到此线程：

sudo服务docker停止和sudo nohup docker守护程序-Htcp://0.0.0.0:2375 -Hunix:///var/run/docker.sock &

最后，我在我的服务器主机上收到了一个滥用警告，我的盒子正在端口2375上进行端口扫描

我找到了一个 杀了它十次，最后重新启动，之后就再也没有回来过

表示存在以下问题：

Cisco Docker引擎配置中存在漏洞 CloudCenter Orchestrator（CCO；前身为CliQr）可以允许 未经验证的远程攻击者安装具有 受影响系统上的高权限。受影响产品：本 该漏洞影响Cisco CloudCenter Orchestrator的所有版本 （CCO）Docker引擎TCP端口2375在服务器上打开的部署 系统，并绑定到本地地址0.0.0.0（任何接口）

因此，我的问题是：上述方式（对tcp://0.0.0.0:2375)要启动docker daemon（如果是，为什么？）或者它是docker中的一个bug？

“任何接口”意味着您希望docker daemon侦听所有网络接口上的传入连接，而不仅仅是本地主机。这意味着任何能够访问服务器的人都可以连接到端口2375，访问Docker守护进程并利用它。“High privileges”是“root”，因此您的系统已受损，应该从头开始重新安装

---

解决这个问题的简单方法是，您应该只能从受信任的主机连接到docker守护进程，这反过来意味着选择要绑定到的网络接口。典型的选择是“localhost”，因为这只允许从机器本身进行连接。

OK！因此，这篇文章中的评论似乎是危险和误导的！我倾向于报告——你同意吗？如果你把这样的事情搞砸了，你应该知道你在说什么。如果你纠正别人，更是如此。我建议你寻求更多的洞察力，然后自己决定。