对高危漏洞“Docker Engine API is accessible without authentication”的修复

最新推荐文章于 2024-10-08 21:31:51 发布
最新推荐文章于 2024-10-08 21:31:51 发布
阅读量611 收藏 17
点赞数 26
分类专栏: 成为架构师 环境搭建 文章标签: 1panel docker 2375 漏洞 指定IP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37372909/article/details/142764516
版权

一.背景 

      之前文章maven项目容器化运行之1-基于1Panel软件将docker镜像构建能力分享给局域网_1panel 构建镜像-CSDN博客将1Panel软件的Doocker端口给到了局域网,安全组兄弟扫描认为是高危漏洞,可能导致攻击者获取对Docker主机的完全控制权。

二.修复的建议

      安全组的兄弟给了修复建议:

高危2:Docker Engine API is accessible without authentication,可能导致攻击者获取对Docker主机的完全控制权
具体说明:
Docker守护进程配置不当,允许远程访问而没有适当的身份验证。Docker API端口(通常是2375或2376)暴露。防火墙规则不当,允许来自任何IP地址的连接到Docker API端口。可能导致未经授权访问和控制Docker容器。可能导致数据泄露、系统被入侵或被用于恶意目的(如挖矿)。攻击者可能利用此漏洞在主机上执行任意命令。
解决办法:
1.限制API访问:
默认情况下,禁用远程API访问。
如果需要远程访问,使用TLS加密和客户端证书认证。
2.配置Docker守护进程:
编辑Docker配置文件(通常在 /etc/docker/daemon.json):
{
  "tls": true,
  "tlscert": "/path/to/server-cert.pem",
  "tlskey": "/path/to/server-key.pem",
  "tlsverify": true,
  "tlscacert": "/path/to/ca.pem"
}
3.生成TLS证书:
使用OpenSSL生成CA、服务器和客户端证书。
4.配置防火墙:
限制只有特定IP地址可以访问Docker API端口。
使用 iptables 或云服务提供商的安全组设置。
5.使用Unix Socket:
如果可能,优先使用Unix socket而不是TCP端口来与Docker通信。
6.更新Docker:
确保使用最新版本的Docker,以获取最新的安全更新。
7实施网络隔离:
使用虚拟私有网络(VPN)来访问Docker API。

三.选择配置防火墙策略来修复

1.查看我的机器是否可以访问Docker端口

在cmd窗口,输入命令   curl -i http://10.1.230.94:2375/version,结果如下:

C:\Users\Dell>curl -i http://10.1.230.94:2375/version
HTTP/1.1 200 OK
Api-Version: 1.45
Content-Type: application/json
Docker-Experimental: false
Ostype: linux
Server: Docker/26.1.3 (linux)
Date: Tue, 08 Oct 2024 09:07:16 GMT
Content-Length: 848

{"Platform":{"Name":"Docker Engine - Community"},"Components":[{"Name":"Engine","Version":"26.1.3","Details":{"ApiVersion":"1.45","Arch":"amd64","BuildTime":"2024-05-16T08:35:20.000000000+00:00","Experimental":"false","GitCommit":"8e96db1","GoVersion":"go1.21.10","KernelVersion":"3.10.0-1160.105.1.el7.x86_64","MinAPIVersion":"1.24","Os":"linux"}},{"Name":"containerd","Version":"1.6.32","Details":{"GitCommit":"8b3b7ca2e5ce38e8f31a34f35b2b68ceb8470d89"}},{"Name":"runc","Version":"1.1.12","Details":{"GitCommit":"v1.1.12-0-g51d5e94"}},{"Name":"docker-init","Version":"0.19.0","Details":{"GitCommit":"de40ad0"}}],"Version":"26.1.3","ApiVersion":"1.45","MinAPIVersion":"1.24","GitCommit":"8e96db1","GoVersion":"go1.21.10","Os":"linux","Arch":"amd64","KernelVersion":"3.10.0-1160.105.1.el7.x86_64","BuildTime":"2024-05-16T08:35:20.000000000+00:00"}

我在浏览器输入http://10.1.230.94:2375/version,也有响应如下:

{
	"Platform": {
		"Name": "Docker Engine - Community"
	},
	"Components": [{
		"Name": "Engine",
		"Version": "26.1.3",
		"Details": {
			"ApiVersion": "1.45",
			"Arch": "amd64",
			"BuildTime": "2024-05-16T08:35:20.000000000+00:00",
			"Experimental": "false",
			"GitCommit": "8e96db1",
			"GoVersion": "go1.21.10",
			"KernelVersion": "3.10.0-1160.105.1.el7.x86_64",
			"MinAPIVersion": "1.24",
			"Os": "linux"
		}
	}, {
		"Name": "containerd",
		"Version": "1.6.32",
		"Details": {
			"GitCommit": "8b3b7ca2e5ce38e8f31a34f35b2b68ceb8470d89"
		}
	}, {
		"Name": "runc",
		"Version": "1.1.12",
		"Details": {
			"GitCommit": "v1.1.12-0-g51d5e94"
		}
	}, {
		"Name": "docker-init",
		"Version": "0.19.0",
		"Details": {
			"GitCommit": "de40ad0"
		}
	}],
	"Version": "26.1.3",
	"ApiVersion": "1.45",
	"MinAPIVersion": "1.24",
	"GitCommit": "8e96db1",
	"GoVersion": "go1.21.10",
	"Os": "linux",
	"Arch": "amd64",
	"KernelVersion": "3.10.0-1160.105.1.el7.x86_64",
	"BuildTime": "2024-05-16T08:35:20.000000000+00:00"
}

说明我的机器确实可以访问的。我的构建服务器ip是10.1.230.232,我本机10.1.210.197、另一个同事机器10.2.125.55。我准备就允许设置这3个IP可以访问Docker的端口。

2.设置防火墙规则

(1)先明确linux机器用的什么防火墙?

一般是用iptables或者firewalld。先通过查看2个命令分别查看服务的状态,就知道用的是哪个防火墙了。systemctl status iptables    和  systemctl status firewalld。很明显,我机器是firewalld。

[root@localhost ~]# systemctl status iptables
Unit iptables.service could not be found.
[root@localhost ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: active (running) since 二 2024-10-08 17:43:49 CST; 28min ago
     Docs: man:firewalld(1)
 Main PID: 14565 (firewalld)
    Tasks: 2
   Memory: 28.3M
   CGroup: /system.slice/firewalld.service
           └─14565 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid

10月 08 17:43:48 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
10月 08 17:43:49 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.
10月 08 17:43:49 localhost.localdomain firewalld[14565]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.
10月 08 17:50:58 localhost.localdomain firewalld[14565]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.
10月 08 17:54:06 localhost.localdomain firewalld[14565]: ERROR: INVALID_PROTOCOL: http
10月 08 17:58:15 localhost.localdomain firewalld[14565]: WARNING: ALREADY_ENABLED: rule family="ipv4" source address="10.1.210.197" port port="2375" protocol="tcp" accept
10月 08 17:58:47 localhost.localdomain firewalld[14565]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.
10月 08 18:10:12 localhost.localdomain firewalld[14565]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.

(2)firewalld添加允许访问并重启

#添加3个IP访问2375端口
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.1.230.232" port port="2375" protocol="tcp" accept' --permanent
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.1.210.197" port port="2375" protocol="tcp" accept' --permanent
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.2.125.55" port port="2375" protocol="tcp" accept' --permanent
#重新加载 firewalld 配置
sudo firewall-cmd --reload

如果不重启,不生效哦!

可以输入命令去验证规则:

[root@localhost zones]# sudo firewall-cmd --zone=public --list-rich-rules
rule family="ipv4" source address="10.1.230.232" port port="2375" protocol="tcp" accept
rule family="ipv4" source address="10.1.210.197" port port="2375" protocol="tcp" accept
rule family="ipv4" source address="10.2.125.55" port port="2375" protocol="tcp" accept

四.其他问题处理

       1.1panel的15021端口访问不了

       我的Docker服务器不是自己安装的,是在1Panel中带的,原来没有启用防火墙,我命令输入后,启动了防火墙,导致我1Panel平台的15021端口,里面容器映射的端口都访问不了。所以,我手动先输入命令,把1panel的15021端口允许任何ip访问。    

[root@localhost zones]# sudo firewall-cmd --zone=public --add-port=15021/tcp --permanent
success

    2.1panel中其他容器映射的端口访问不了

    在1panel中添加就行了,多个端口可以一次批量添加:

可以在1panel防火墙界面查看,当前的规则。也可以像下面这样输入命令查看:

[root@localhost zones]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: dhcpv6-client ssh
  ports: 15021/tcp 22/tcp 80/tcp 443/tcp 14000/tcp 14001/tcp 14002/tcp 14003/tcp 16379/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
    rule family="ipv4" source address="10.1.230.232" port port="2375" protocol="tcp" accept
    rule family="ipv4" source address="10.1.210.197" port port="2375" protocol="tcp" accept
    rule family="ipv4" source address="10.2.125.55" port port="2375" protocol="tcp" accept

弗锐土豆
关注
专栏目录
Docker AuthZ权限绕过漏洞修复,升级docker27.1.1
07-30
docker出现了AuthZ权限绕过高危漏洞,官方发布了修复升级版本,需要二进制包进行升级
Mac OSX系统 Docker启用Docker远程API功能
01-20
在Mac OSX系统的Docker机上启用Docker远程API功能 Docker守护进程提供了一套远程REST API,具体可以参考文档: https://docs.docker.com/engine/reference/api/docker_remote_api/ 这套API是提供给客户端与Docker...
Docker Engine API的Python库-Python开发
05-25
用于Python的Docker SDK一个用于Docker Engine API的Python库。 它可以让您执行docker命令的所有操作,但是可以从Python应用程序内部执行-运行容器,管理容器,管理Swarms等。安装适用于Python的Docker SDK适用于...
docker-py:Docker引擎API的Python库
02-02
Docker Engine API的Python库。 它可以让您执行docker命令的所有操作,但是可以在Python应用程序中执行–运行容器,管理容器,管理Swarms等。 安装 最新的稳定版本。 将docker添加到您的requirements.txt文件中或...
1. 离线安装docker; 2. 实现docker-cert配置,修复docker remote API漏洞;.zip
04-30
docker安装 docker安装方法有多种,下面列举在Windows和Linux系统中的安装步骤:12 Windows系统中的安装方法: 对于Windows Server系统,可以使用Microsoft发布的PowerShell模块DockerMicrosoftProvider来安装...
DockerDocker 容器的使用指南:如何进入容器并运行命令
人生苦短,睡觉要紧,睡醒再说
10-01 1857
Docker 是一个开源的应用容器引擎,能轻松创建、部署和运行分布式应用。本文将介绍如何进入 Docker 容器并在其中运行命令,包括常用命令示例与说明。
Docker从入门到进阶】03.进阶应用
10-03 1683
创建自定义网络这样创建的网络默认使用桥接模式。查看网络将容器连接到自定义网络连接现有容器到网络断开容器与网络的连接多服务配置Docker Compose 文件允许您通过 service 块定义多个服务。每个服务定义了一个 Docker 容器,使用这些容器共同协作以完成一个复杂的应用。网络与卷管理支持定义自定义网络,方便应用内不同服务之间的通信。通过卷的使用实现数据的持久化和共享。在中可以明确声明各服务间的依赖关系。环境变量和配置管理可以在 Compose 文件中嵌入环境变量,或使用。
Docker 的基本概念和优势
矿枝
10-02 301
Docker是一种开源的容器化平台,用于在不同环境下快速、可靠地构建、打包和部署应用程序。它通过将应用程序及其依赖项封装到一个可移植的容器中,实现了应用程序在不同系统上的一致运行。
docker进入正在运行的容器,exit后的比较
Jeuneke的博客
10-02 622
run运行进去容器,ctrl+p+q退出,容器不停止。如果加了-d,就守护式启动容器,exit的命令,容器是不会停止的。exec进的容器,exit或者是ctrl+d,容器不会停止.只是退出。docker run进去容器,exit退出,容器停止。
Kubernetes--深入理解Pod资源管理
flytalei的博客
10-08 618
在 Kubernetes中,资源是指各种对象类型,例如Pods、Services、Deployments 等,API是这些资源的入口点。通过 kubectl,用户可以创建、查看、更新、删除集群中的各种资源(如 Pod、Service、Deployment 等),并且可以调试和管理 Kubernetes 集群。在 Kubernetes 中,API 是与集群交互的核心,API 版本管理允许 Kubernetes 保持向后兼容性,并引入新功能而不破坏现有的功能。这种策略用于只运行一次的任务或非常短暂的容器。
Docker学习和部署ry项目
ngczx的博客
10-01 1771
Docker学习和部署ry项目
Kubernetes资源详解
huaz_md的博客
10-05 1137
在kubernetes中,所有的内容都抽象为资源,用户需要通过操作资源来管理kubernetes本质上就是一个集群系统,用户可以在集群中部署各种服务所谓的部署服务,其实就是在kubernetes集群中运行一个个的容器,并将指定的程序跑在容器中kubernetes的最小管理单元是pod而不是容器只能将容器放在pod中kubernetes一般也不会直接管理pod,而是通过pod控制器来管理pod的pod中容器服务的访问是由kubernetes提供的service资源来实现的。pod中的容器不能直接被访问。
docker compose入门1—概念介绍
最新发布
小诸葛的博客
10-08 477
Docker Compose 是一个非常强大的工具,简化了多容器应用的管理流程。通过它,你可以轻松定义、启动和管理复杂的容器应用栈,使开发、测试和轻量级生产环境中的多容器管理变得更加高效。
Docker
m0_73939789的博客
10-01 1476
Docker本身包含一个后台服务,我们可以利用Docker命令告诉Docker服务,帮助我们快速部署指定的应用。Docker服务部署应用时,首先要去搜索并下载应用对应的镜像,然后根据镜像创建并允许容器,应用就部署完成了。
docker快速上手
小旺的博客
10-07 693
一个轻量的虚拟机,让程序员不再纠结于环境部署,更多集中于代码编写,基础建设,开发作用:打包:把你软件运行所需的所有东西打包到一起分发:把你打包好的“安装包”上传到一个镜像仓库,任何人可以拿来即用部署:拿着“安装包”就可以一个命令运行起来你的应用,自动模拟出一模一样的运行环境官网下载安装。
docker 部署 filebeat 采集日志导入到elasticsearch 设置pipeline
萧曳丶
10-02 550
docker 部署 filebeat 采集日志导入到elasticsearch 设置pipeline。
VMware中Ubuntu系统Docker正常运行但网络不通(已解决)
月亮的技术博客
10-02 806
在VMware中的Ubuntu系统下部署了Docker,当在docker容器中运行Eureka微服务时,发现Eureka启动正常,但无法通过网页访问该容器中Eureka。
k8s 中的金丝雀发布(灰度发布)
weixin_68398469的博客
10-06 1208
金丝雀发布(Canary Release)也称为灰度发布,是一种软件发布策略。主要目的是在将新版本的软件全面推广到生产环境之前,先在一小部分用户或服务器上进行测试和验证,以降低因新版本引入重大问题而对整个系统造成的影响。是一种Pod的发布方式。金丝雀发布采取先添加、再删除的方式,保证Pod的总量不低于期望值。并且在更新部分Pod后,暂停更新,当确认新Pod版本运行正常后再进行其他版本的Pod的更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值