描述
可以让 Docker 守护进程监听特定的 IP 和端口以及除了默认的 Unix 套接字以外的任何其他 Unix 套接字。配置 TLS 身份验证以限制通
过 IP 和端口访问 Docker 守护进程。
安全出发点
默认情况下,Docker 守护进程绑定到非联网的 Unix 套接字,并以 'root' 权限运行。如果将默认的 Docker 守护进程更改为绑定到 TCP
端口或任何其他的 Unix 套接字,那么任何有权访问该端口或套接字的人都可以完全访问 Docker 守护进程,进而可以访问主机系统。因此,
不应该将 Docker 守护进程绑定到另一个 TCP 端口或者其他套接字。如果必须通过网络套接字来暴露 Docker 守护进程,那么请为 Docker
守护进程配置 TLS 身份验证。
审计方法
ps -ef | grep dockerd
结果判定
确保存在以下参数:
' --tlsverify ',' --tlscacert ',' --tlscert ',' --tlskey '。
修复措施
简单的访问还是按照 Docker 文档提到的步骤进行配置。
影响
需要管理和保护 Docker 守护进程和 Docker 客户端的证书和私钥。
默认值
未配置 TLS 认证。