Docker 端口映射重大安全漏洞
近日 Hacker News 上面有一个贴子[1]火了,这是一封发给 Docker 安全团队的邮件,主要讲的是 Docker 有一个非常离谱的安全隐患。即使你通过像 -p 127.0.0.1:80:80
这样的参数将端口暴露到回环地址,外部仍然可以访问该服务,怎么回事呢?
原因其实很简单,Docker 添加了这样一条 Iptables 规则:
只要外部攻击者通过这台主机将流量发送到 172.17.0.2:80
,就会匹配这条规则并成功访问容器中的服务,127.0.0.1 并没有什么卵用。
尴尬的是,选择将端口映射到 127.0.0.1 的用户基本上都是觉得这样很安全,以至于他们不再想采取进一步的安全措施。现在问题来了,映射到 127.0.0.1 不能说是非常安全吧,只能说是与安全毫不相干。。。
概念验证
下面通过一个例子来验证。
① 在 A 机器上运行一个 PostgreSQL 容器,并将端口映射到 127.0.0.1。
② 同一个局域网中的 B 机器添加路由表,将所有访问 172.16.0.0/12
的流量指向 A 机器。
③ 在 B 机器中扫描 A 机器的端口。
④ 在 B 机器中直接连接 PostgreSQL。
解决方案
事实上不仅仅是 127.0.0.1,你将容器端口映射到主机的任何一个地址,外部都可以访问到,这就离了大谱了!
邮件作者给 Docker 团队提出了一个解决方案,希望能优化 Docker 的 iptables 规则:
① 首先要严格限制允许访问容器端口的源地址和网络接口,例如 docker run -p 127.0.0.1:5432:5432
的原 iptables 规则如下:
改进后的 iptables 规则如下:
同理,如果主机的地址为 192.168.0.100
,掩码为 24
,那么 docker run -p 192.168.0.100:5432:5432
的 iptables 规则就应该是:
② 最后要修改默认行为,如果使用 -p
参数时没有指定任何 IP 地址,就默认映射到 127.0.0.1。
虽然评论区也有很多人给出了添加 iptables 规则来进行限制的方案,但这是不现实的,目前全世界有成千上万的用户在使用 -p
参数将容器端口映射到 127.0.0.1,攻击者估计早就发现了这个漏洞,我们不能期望用户自己添加 iptables 规则来限制外部访问,最靠谱的方式还是等 Docker 官方修复这个 bug 然后升级吧。
版权声明: 本文为 InfoQ 作者【CTO技术共享】的原创文章。
原文链接:【http://xie.infoq.cn/article/e8eade4931950f918ffd1a813】。未经作者许可,禁止转载。
评论