近日Hacker News 上面有一個貼子^[1]火了，這是一封發給 Docker 安全團隊的郵件，主要講的是 Docker 有一個非常離譜的安全隱患。即使你通過像-p 127.0.0.180這樣的參數將端口暴露到回環地址，外部仍然可以訪問該服務，怎么回事呢？

原因其實很簡單，Docker 添加了這樣一條 Iptables 規則：

→iptables-nvLDOCKER
ChainDOCKER(2references)
pktsbytestargetprotoptinoutsourcedestination
00ACCEPTtcp--!docker0docker00.0.0.0/0172.17.0.2tcpdpt:80

只要外部攻擊者通過這臺主機將流量發送到172.17.0.2:80，就會匹配這條規則并成功訪問容器中的服務，127.0.0.1 并沒有什么卵用。

尷尬的是，選擇將端口映射到 127.0.0.1 的用戶基本上都是覺得這樣很安全，以至于他們不再想采取進一步的安全措施。現在問題來了，映射到 127.0.0.1 不能說是非常安全吧，只能說是與安全毫不相干。。。

概念驗證

下面通過一個例子來驗證。

① 在 A 機器上運行一個 PostgreSQL 容器，并將端口映射到 127.0.0.1。

#IP:192.168.0.100
→dockerrun-ePOSTGRES_PASSWORD=password-p127.0.0.15432postgres

② 同一個局域網中的 B 機器添加路由表，將所有訪問172.16.0.0/12的流量指向 A 機器。

#IP:192.168.0.200
→iprouteadd172.16.0.0/12via192.168.0.100

③ 在 B 機器中掃描 A 機器的端口。

→nmap-p5432-Pn--open172.16.0.0/12
StartingNmap7.92(https://nmap.org)at2021-11-0515:00CDT
Nmapscanreportfor172.17.0.2
Hostisup(0.00047slatency).

PORTSTATESERVICE
5432/tcpopenpostgresql

④ 在 B 機器中直接連接 PostgreSQL。

→psql-h172.17.0.2-Upostgres
Passwordforuserpostgres:

解決方案

事實上不僅僅是 127.0.0.1，你將容器端口映射到主機的任何一個地址，外部都可以訪問到，這就離了大譜了！

郵件作者給 Docker 團隊提出了一個解決方案，希望能優化 Docker 的 iptables 規則：

① 首先要嚴格限制允許訪問容器端口的源地址和網絡接口，例如docker run -p 127.0.0.15432的原iptables 規則如下：

ChainDOCKER(2references)
pktsbytestargetprotoptinoutsourcedestination
00ACCEPTtcp--!docker0docker00.0.0.0/0172.17.0.2tcpdpt:5432

改進后的 iptables 規則如下：

ChainDOCKER(2references)
pktsbytestargetprotoptinoutsourcedestination
00ACCEPTtcp--lodocker0127.0.0.1/8172.17.0.2tcpdpt:5432

同理，如果主機的地址為192.168.0.100，掩碼為24，那么docker run -p 192.168.0.1005432的 iptables 規則就應該是：

ChainDOCKER(2references)
pktsbytestargetprotoptinoutsourcedestination
00ACCEPTtcp--eth0docker0192.168.0.0/24172.17.0.2tcpdpt:5432

② 最后要修改默認行為，如果使用-p參數時沒有指定任何 IP 地址，就默認映射到 127.0.0.1。

雖然評論區也有很多人給出了添加 iptables 規則來進行限制的方案，但這是不現實的，目前全世界有成千上萬的用戶在使用-p參數將容器端口映射到 127.0.0.1，攻擊者估計早就發現了這個漏洞，我們不能期望用戶自己添加 iptables 規則來限制外部訪問，最靠譜的方式還是等 Docker 官方修復這個 bug 然后升級吧。

審核編輯 ：李倩