描述
默認情況下,默認網橋上同一主機上的容器之間允許所有網絡通信。如果不需要,限制所有的容器間通信,將需要通信的
特定容器鏈接在一起,或者創建自定義網絡,並只加入需要與該自定義網絡通信的容器。
安全出發點
默認情況下,默認網橋上同一主機上的所有容器之間啓用不受限制的網絡通信。因此,每個容器都有可能讀取同一主機上
容器網絡上的所有包,這可能會導致意外和不必要的信息泄露給其他容器。因此,需要限制默認網橋上的容器間通信。
審計方法
運行以下命令並確認網橋已被配置爲限制容器間通信:
docker network ls -q | xargs docker network inspect --format '{{.Name}}:{{.Options}}'
本機的結果如下:
bridge:map[com.docker.network.bridge.host_binding_ipv4:0.0.0.0
com.docker.network.bridge.name:docker0
com.docker.network.driver.mtu:1500
com.docker.network.bridge.default_bridge:true
com.docker.network.bridge.enable_icc:false
com.docker.network.bridge.enable_ip_masquerade:true]
host:map[]
none:map[]
結果判斷
我們應該確保 com.docker.network.bridge.enable_icc:false.
修復措施
在守護進程模式下運行 docker 時傳遞參數 --icc=false:
dockerd --icc=false
或者可以遵循 Docker 文檔並創建自定義網絡,並只加入需要與該自定義網絡通信的容器。--icc 參數僅適用於默認網
橋,如果使用自定義網絡,則應該採取分段網絡的方法。
影響
默認網橋上的容器間的通信將被禁用。如果需要在同一主機上的容器間進行通信,則需要使用容器鏈接來明確定義它,或
者必須定義自定義網絡。
默認值
默認網橋上允許容器間通信
