近日 Hacker News 上面有一個(gè)貼子^[1]火了，這是一封發(fā)給 Docker 安全團(tuán)隊(duì)的郵件，主要講的是 Docker 有一個(gè)非常離譜的安全隱患。即使你通過像 ????-p 127.0.0.1:80:80???? 這樣的參數(shù)將端口暴露到回環(huán)地址，外部仍然可以訪問該服務(wù)，怎么回事呢？

原因其實(shí)很簡(jiǎn)單，Docker 添加了這樣一條 Iptables 規(guī)則：

??  → iptables -nvL DOCKER
Chain DOCKER (2 references)
 pkts bytes target prot opt in       out     source    destination
    0 0     ACCEPT tcp  --  !docker0 docker0 0.0.0.0/0 172.17.0.2  tcp dpt:80

只要外部攻擊者通過這臺(tái)主機(jī)將流量發(fā)送到 ??172.17.0.2:80??，就會(huì)匹配這條規(guī)則并成功訪問容器中的服務(wù)，127.0.0.1 并沒有什么卵用。

尷尬的是，選擇將端口映射到 127.0.0.1 的用戶基本上都是覺得這樣很安全，以至于他們不再想采取進(jìn)一步的安全措施。現(xiàn)在問題來了，映射到 127.0.0.1 不能說是非常安全吧，只能說是與安全毫不相干。。。

概念驗(yàn)證

下面通過一個(gè)例子來驗(yàn)證。

① 在 A 機(jī)器上運(yùn)行一個(gè) PostgreSQL 容器，并將端口映射到 127.0.0.1。

# IP: 192.168.0.100
??  → docker run -e POSTGRES_PASSWORD=password -p 127.0.0.1:5432:5432 postgres

② 同一個(gè)局域網(wǎng)中的 B 機(jī)器添加路由表，將所有訪問 ??172.16.0.0/12?? 的流量指向 A 機(jī)器。

# IP: 192.168.0.200
??  → ip route add 172.16.0.0/12 via 192.168.0.100

③ 在 B 機(jī)器中掃描 A 機(jī)器的端口。

??  → nmap -p5432 -Pn --open 172.16.0.0/12
Starting Nmap 7.92 ( https://nmap.org ) at 2021-11-05 15:00 CDT
Nmap scan report for 172.17.0.2
Host is up (0.00047s latency).

PORT     STATE SERVICE
5432/tcp open  postgresql

④ 在 B 機(jī)器中直接連接 PostgreSQL。

??  → psql -h 172.17.0.2 -U postgres
Password for user postgres:

解決方案

事實(shí)上不僅僅是 127.0.0.1，你將容器端口映射到主機(jī)的任何一個(gè)地址，外部都可以訪問到，這就離了大譜了！

郵件作者給 Docker 團(tuán)隊(duì)提出了一個(gè)解決方案，希望能優(yōu)化 Docker 的 iptables 規(guī)則：

① 首先要嚴(yán)格限制允許訪問容器端口的源地址和網(wǎng)絡(luò)接口，例如 ??docker run -p 127.0.0.1:5432:5432?? 的原 iptables 規(guī)則如下：

Chain DOCKER (2 references)
 pkts bytes target prot opt in       out     source    destination
    0 0     ACCEPT tcp  --  !docker0 docker0 0.0.0.0/0 172.17.0.2  tcp dpt:5432

改進(jìn)后的 iptables 規(guī)則如下：

Chain DOCKER (2 references)
 pkts bytes target prot opt in out     source      destination
    0 0     ACCEPT tcp  --  lo docker0 127.0.0.1/8 172.17.0.2 tcp dpt:5432

同理，如果主機(jī)的地址為 ??192.168.0.100??，掩碼為 ??24??，那么 ??docker run -p 192.168.0.100:5432:5432?? 的 iptables 規(guī)則就應(yīng)該是：

Chain DOCKER (2 references)
 pkts bytes target prot opt in   out     source         destination
    0 0     ACCEPT tcp  --  eth0 docker0 192.168.0.0/24 172.17.0.2 tcp dpt:5432

② 最后要修改默認(rèn)行為，如果使用 ??-p?? 參數(shù)時(shí)沒有指定任何 IP 地址，就默認(rèn)映射到 127.0.0.1。

雖然評(píng)論區(qū)也有很多人給出了添加 iptables 規(guī)則來進(jìn)行限制的方案，但這是不現(xiàn)實(shí)的，目前全世界有成千上萬的用戶在使用 ??-p?? 參數(shù)將容器端口映射到 127.0.0.1，攻擊者估計(jì)早就發(fā)現(xiàn)了這個(gè)漏洞，我們不能期望用戶自己添加 iptables 規(guī)則來限制外部訪問，最靠譜的方式還是等 Docker 官方修復(fù)這個(gè) bug 然后升級(jí)吧。

引用鏈接

[1]Hacker News 上面有一個(gè)貼子: https://news.ycombinator.com/item?id=31839936