docker 解决7654端口未授权访问漏洞

一、漏洞介绍

未授权访问漏洞是因为Docker API可以执行Docker命令，该接口是目的是取代Docker命令界面，通过URL操作Docker

直接输入地址 http://ip:7654/info；若能访问，证明存在未授权访问漏洞

二、漏洞修复方案

方法一：对7654端口做网络访问控制，如ACL控制，或者访问规则；（略）

方法二：修改docker swarm的认证方式，使用TLS认证；

采用方法二进行漏洞修复，修复方法如下：

第一步：关闭7654端口远程访问，仅仅开启本地访问

①备份文件 docker.service

② vim /usr/lib/systemd/system/docker.service

③-H tcp://127.0.0.1:7654  此配置代表该docker主机开放tcp端口仅仅供自己使用7654端口

④-H unix:///var/run/docker.sock 此配置代表本地访问

第二步：重启docker服务

① systemctl daemon-reload

② systemctl restart docker.service

第三步：验证漏洞

① 直接输入地址 http://ip:7654/info；若不能访问，证明未授权访问漏洞已加固