docker未授权漏洞加固[转载]
docker 解决7654端口未授权访问漏洞
一、漏洞介绍
未授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker
直接输入地址 http://ip:7654/info;若能访问,证明存在未授权访问漏洞
二、漏洞修复方案
方法一:对7654端口做网络访问控制,如ACL控制,或者访问规则;(略)
方法二:修改docker swarm的认证方式,使用TLS认证;
采用方法二进行漏洞修复,修复方法如下:
第一步:关闭7654端口远程访问,仅仅开启本地访问
①备份文件 docker.service
② vim /usr/lib/systemd/system/docker.service
③-H tcp://127.0.0.1:7654 此配置代表该docker主机开放tcp端口仅仅供自己使用7654端口
④-H unix:///var/run/docker.sock 此配置代表本地访问
第二步:重启docker服务
① systemctl daemon-reload
② systemctl restart docker.service
第三步:验证漏洞
① 直接输入地址 http://ip:7654/info;若不能访问,证明未授权访问漏洞已加固
文章目录
关闭