Docker 暴重大安全漏洞：外部网络可直接访问 127.0.0.1 服务。。。

往期热门文章：
1、解决打开IDEA 对 CPU占用率巨大的问题
2、优惠券超发事故：扣了我3个月绩效...
3、面试官：如果要存 IP 地址，用什么数据类型比较好？99%人都会答错！
4、高并发下秒杀商品，你必须知道的9个细节
5、我在代码里面故意留个漏洞，违法吗？
来源：云原生实验室
前些天 Hacker News 上面有一个贴子火了，这是一封发给 Docker 安全团队的邮件，主要讲的是 Docker 有一个非常离谱的安全隐患。
即使你通过像 -p 127.0.0.1:80:80这样的参数将端口暴露到回环地址，外部仍然可以访问该服务，怎么回事呢？
原因其实很简单，Docker 添加了这样一条 Iptables 规则：
🐳  → iptables -nvL DOCKER
Chain DOCKER (2 references)
 pkts bytes target prot opt in       out     source    destination
    0 0     ACCEPT tcp  --  !docker0 docker0 0.0.0.0/0 172.17.0.2  tcp dpt:80
只要外部攻击者通过这台主机将流量发送到 172.17.0.2:80，就会匹配这条规则并成功访问容器中的服务，127.0.0.1 并没有什么卵用。
尴尬的是，选择将端口映射到 127.0.0.1 的用户基本上都是觉得这样很安全，以至于他们不再想采取进一步的安全措施。现在问题来了，映射到 127.0.0.1 不能说是非常安全吧，只能说是与安全毫不相干。。。
概念验证
下面通过一个例子来验证。
在 A 机器上运行一个 PostgreSQL 容器，并将端口映射到 127.0.0.1。

# IP: 192.168.0.100
🐳  → docker run -e POSTGRES_PASSWORD=password -p 127.0.0.1:5432:5432 postgres
同一个局域网中的 B 机器添加路由表，将所有访问 172.16.0.0/12 的流量指向 A 机器。

# IP: 192.168.0.200
🐳  → ip route add 172.16.0.0/12 via 192.168.0.100
在 B 机器中扫描 A 机器的端口。
🐳  → nmap -p5432 -Pn --open 172.16.0.0/12
Starting Nmap 7.92 ( https://nmap.org ) at 2021-11-05 15:00 CDT
Nmap scan report for 172.17.0.2
Host is up (0.00047s latency).

PORT     STATE SERVICE
5432/tcp open  postgresql
在 B 机器中直接连接 PostgreSQL。
🐳  → psql -h 172.17.0.2 -U postgres
Password for user postgres:
解决方案
事实上不仅仅是 127.0.0.1，你将容器端口映射到主机的任何一个地址，外部都可以访问到，这就离了大谱了！
邮件作者给 Docker 团队提出了一个解决方案，希望能优化 Docker 的 iptables 规则：
首先要严格限制允许访问容器端口的源地址和网络接口，例如 docker run -p 127.0.0.1:5432:5432 的原 iptables 规则如下：
Chain DOCKER (2 references)
 pkts bytes target prot opt in       out     source    destination
    0 0     ACCEPT tcp  --  !docker0 docker0 0.0.0.0/0 172.17.0.2  tcp dpt:5432
改进后的 iptables 规则如下：
Chain DOCKER (2 references)
 pkts bytes target prot opt in out     source      destination
    0 0     ACCEPT tcp  --  lo docker0 127.0.0.1/8 172.17.0.2 tcp dpt:5432
同理，如果主机的地址为 192.168.0.100，掩码为 24，那么 docker run -p 192.168.0.100:5432:5432 的 iptables 规则就应该是：
Chain DOCKER (2 references)
 pkts bytes target prot opt in   out     source         destination
    0 0     ACCEPT tcp  --  eth0 docker0 192.168.0.0/24 172.17.0.2 tcp dpt:5432
最后要修改默认行为，如果使用 -p 参数时没有指定任何 IP 地址，就默认映射到 127.0.0.1。
虽然评论区也有很多人给出了添加 iptables 规则来进行限制的方案，但这是不现实的，目前全世界有成千上万的用户在使用 -p 参数将容器端口映射到 127.0.0.1，攻击者估计早就发现了这个漏洞，我们不能期望用户自己添加 iptables 规则来限制外部访问，最靠谱的方式还是等 Docker 官方修复这个 bug 然后升级吧。
引用链接
Hacker News 上面有一个贴子: https://news.ycombinator.com/item?id=31839936
往期热门文章：
1、国产开发工具的天花板，用来撸项目真香！
2、这个 MySQL bug 99% 的人会踩坑！
3、公司产品太多了，怎么实现一次登录产品互通？
4、Redis 官方可视化工具，高颜值，功能太强大！
5、用了BigDecimal就不会资损？了解下BigDecimal这五个坑
6、一个依赖搞定 Spring Boot 反爬虫，防止接口盗刷！
7、千万不要把 Request 传递到异步线程里面！有坑！
8、不卷了！入职字节一周就果断跑了。
9、SpringBoot+ShardingSphereJDBC实现读写分离！
10、不好意思， Maven 该换了！