渗透测试修复笔记 - 02 Docker Remote API漏洞

需要保持 Docker 服务运行并且不希望影响其他使用 Docker 部署的服务,同时需要禁止外网访问特定的 Docker API 端口(2375):通过一下命令来看漏洞

bash 复制代码
docker -H tcp://ip地址:2375 images

修改Docker配置以限制访问

  1. 修改daemon.json配置文件

    • 打开 /etc/docker/daemon.json。如果文件不存在,则创建它(vi /etc/docker/daemon.json)。

    • 修改 host 设置,以确保 Docker 不是在 0.0.0.0(即对所有网络接口开放)上监听。
      设置为仅在本地接口监听,外部网络无法访问。

      json 复制代码
      {
        "hosts": ["unix:///var/run/docker.sock", "tcp://127.0.0.1:2375"]
      }
  2. 重启 Docker 服务

    • 应用更改后,需要重启 Docker 服务:

      bash 复制代码
      sudo systemctl restart docker

通过防火墙规则限制访问

不更改 Docker 配置,可通过设置防火墙规则来限制对2375端口的访问。

  1. 添加防火墙规则

    • 使用 firewalld 或其他防火墙工具设置规则,以仅允许来自特定IP或内部网络的访问:

      bash 复制代码
      sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="内部网络IP/掩码" port port="2375" protocol="tcp" accept'
  2. 重载防火墙配置

    • 应用更改:

      bash 复制代码
      sudo firewall-cmd --reload

或者,直接把防火墙改端口给关了(生产环境采取的方式)

bash 复制代码
firewall-cmd --zone=public --remove-port=2375/tcp --permanent && firewall-cmd --reload
相关推荐
ysa0510305 分钟前
【板子】德州扑克模拟
c++·笔记·板子
·醉挽清风·16 分钟前
学习笔记—八股—操作系统
笔记·学习
潘正翔10 小时前
docker核心概念
linux·运维·服务器·docker·容器·centos·运维开发
Java小白笔记13 小时前
Docker 安装配置完全指南:MacOS 、Windows、Linux环境下的安装、配置与验证
linux·macos·docker
fanchenxinok14 小时前
学习笔记:LabVIEW调用DLL解析S19文件教程
笔记·学习·labview·dll解析
疯狂打码的少年14 小时前
【软件工程】结构化设计:模块独立性与耦合内聚
java·开发语言·笔记·软件工程
后季暖17 小时前
langgraph笔记
笔记
copyer_xyf18 小时前
Docker 入门与实战:容器化 React + NestJS 项目
docker
·醉挽清风·18 小时前
学习笔记—算法—算法题
笔记·学习·算法
西岸行者18 小时前
硬刚DeepSeek: UDPC与MTFAA的血缘辩论
笔记