描述
当容器端口需要被映射时,Docker守护进程都会启动用于端口转发的userland-proxy方式。如果使用了DNAT方式,该功能可以被禁用
隐患分析
Docker引擎提供了两种机制将主机端口转发到容器,DNAT和userland-proxy。
在大多数情况下,DNAT模式是首选,因为它提高了性能,并使用本地Linux iptables功能而需要附加组件。
如果DNAT可用,则应在启动时禁用userland-proxy以减少安全风险。
审计方法
$ ps -ef|grep dockerd
或
$ cat /etc/docker/daemon.json|grep userland-proxy
确保userland-proxy配置为false
修复建议
编辑文件
$ mkdir -p /etc/docker/
$ vi /etc/docker/daemon.json
添加如下内容
"userland-proxy": false,
重载服务
$ systemctl daemon-reload
$ systemctl restart docker
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档
网友评论