Docker引起的漏洞问题

最新推荐文章于 2024-08-12 14:13:50 发布
最新推荐文章于 2024-08-12 14:13:50 发布
阅读量1.2k 收藏 17
点赞数 32
分类专栏: 生产实际遇到问题 文章标签: docker 容器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxc_user/article/details/139600717
版权

前言

         测试环境上的中间件和java应用都是由docker进行部署的,但是因为docker的镜像访问有时候需要外网,由此引发了问题,在docker文件中 /usr/lib/systemd/system/docker.service

原有的配置为,可以看到进行了加密

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

修改配置为:

ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --registry-mirror=https://f2kob4mc.mirror.aliyuncs.com

          就因为以上的修改了,导致了服务器中了病毒,收到的告警信息如下

具体信息

1.  告警信息

测试和构建服务器/10.19.16.123[{instanceId=i-wz9ddqdfdsfdsfsdfdfdfpz9, userId=22132311}] ,(ECS)同时连接数最大值>=3000个  当前值: 48603个  告警规则同时连接数 请登录云监控查看

2. 服务器推送

最低0.47元/天 解锁文章
Docker逃逸CVE-2019-5736、procfs云安全漏洞复现,全文5k字,超详细解析!
xt350488的博客
07-06 1287
2019年2月,runC维护团队披露了一个严重安全漏洞CVE-2019-5736,由SUSE Linux的高级软件工程师Aleksa Sarai发现。此漏洞影响Docker、containerd、Podman、CRI-O等广泛使用的容器运行时,对IT环境和主流云平台如AWS、Google Cloud构成重大威胁。攻击者利用此漏洞可实现容器逃逸,获取宿主机的root权限,进而控制主机上的所有容器
Docker 安全及日志管理
2402_83805984的博客
07-25 1250
https的单向认证流程:0)服务端会事先通过CA签发服务端证书和私钥文件1)客户端发送https请求给服务端2)服务端会先返回一个包含公钥、证书有效期、CA机构信息等的服务端证书给客户端3)客户端收到服务端证书后,会先用本地的CA证书校验证书的有效性,如果证书有效,则继续下一步操作,证书无效则显示告警信息4)客户端继续发送自己可支持的对称加密方案给服务端5)服务端会选择加密程度最高的加密方案,并通过明文方式发送给客户端。
常见的Docker容器漏洞总结
Python专栏
06-30 1306
关注“网络安全学习圈”微信公众号,回复暗号,立即领取最新。
Docker安全漏洞
Songbl_的博客
06-30 786
Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了 生成需要的证书文件 注意设置好自己的目录 openssl genrsa -out ca-key.pem 4096 证书的相关信息,设置自己的 openssl req -x509 -sha256 -batch -subj '/C=CN/ST=Shanghai/L=Shanghai/O=Ghostcloud Co.,Ltd/OU=Laboratory/CN=www.XXX.cn' -new -days 365 -key ca
Docker未授权访问漏洞
qq_50854662的博客
10-18 1617
Docker未授权访问漏洞
Docker 47 个常见故障的原因和解决方法
网络安全
01-19 4027
本文针对Docker容器部署、维护过程中,产生的问题和故障,做出有针对性的说明和解决方案,希望可以帮助到大家去快速定位和解决类似问题故障。
Docker服务开放了2375这个端口,服务器引起安全漏洞
weixin_45972606的博客
09-15 1622
使用docker-maven-plugin打包SpringBoot应用的Docker镜像时,服务器需要开放2375端口。会引起安全漏洞,被人入侵、挖矿、CPU飙升发生,使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 1.首先创建一个目录用于存储生成的证书和秘钥 mkdir /mydata/docker-ca && cd /mydata/docker-ca 创建CA证书私钥,期间需要输入两次用户名和密码,生成文件为ca-key.pem; openssl ge
linux docker漏洞,CVE-2019-14271:Docker史上最严重copy漏洞
weixin_29002935的博客
05-16 606
Docker修复了史上最严重的copy漏洞——CVE-2019-14271。Docker cpCopy命令允许从容器、向容器中、或容器之间复制文件。语法与标准的unix cp命令非常相似。要从容器中复制/var/logs,语法是docker cp container_name:/var/logs /some/host/path。从下图所示,要从容器中将文件复制出去,Docker使用了一个名为doc...
docker逃逸漏洞总结
weixin_35756130的博客
02-13 288
Docker 逃逸漏洞主要有两种:第一种是由于容器中的应用程序的设计错误而导致的;第二种是由于容器的安全设置不当而导致的。为了避免这两种漏洞,建议在部署容器时,应该采用一些安全的措施,如控制容器的访问权限、限制容器的网络通信等。 ...
docker-av:Docker的防病毒映像
05-18
码头客 Docker的防病毒映像
【从漏洞到防护:浅谈Docker不容忽视的安全问题
最新发布
OpsEye的博客
08-12 1587
在网络时代,几乎所有编写的软件和应用都存在潜在的漏洞,想要完全没有漏洞的应用是几乎不可能实现的,当然Docker也不例外。Docker 容器技术在提供高效、可移植的软件部署环境的同时,也带来了一些安全挑战。针对 Docker 自身的漏洞,黑客的攻击手段层出不穷,给企业带来了多方面的挑战。所谓“兵来将挡水来土掩”,今天给大家分享几个常见的Docker安全问题及相对应的防护措施吧。Docker 的安全是一个持续的过程,需要综合考虑镜像构建、容器配置、运行时环境以及持续监控等多个方面。
docker里运行病毒会对系统造成影响吗?
m0_57236802的博客
05-18 882
Docker 容器提供了一定程度的隔离,但它不如虚拟机(如 VirtualBox 或 VMWare)提供的隔离强大。而 Docker 容器共享主机的操作系统内核,虽然有很多隔离措施,但如果内核存在漏洞,或者 Docker 配置不当,有可能被恶意软件利用来逃逸到宿主机。总的来说,虽然 Docker 可以提供一定程度的隔离,但它并没有设计成一个安全沙箱,用来隔离恶意软件。因此,从安全角度来看,如果你打算在 Docker 容器中运行病毒或恶意软件进行测试,你应该十分小心,并采取额外的安全措施。
docker confluence挖矿病毒处理及版本升级
qq_41411704的博客
09-14 1980
【前提】 公司自建的confluence 被植入挖矿病毒了。导致cpu异常,疯狂的对外发包。 一【排查】 docker 版本 6.7.2 cptactionhank/atlassian-confluence:6.7.2 1.挖矿病毒:kdevtmpfsi kinsing solrd 就是换着名称来挖矿。 1.定位病毒 #查找出异常的pid,直接kill top #查找出关联下此进程的pid,可以找到父进程等信息 systemctl status pid 2.处理病毒 禁用定时任务,删除异常目录,删除源头 c
关于Docker安全的一点调研
^_^
07-01 664
一个课程作业的报告 文章目录DOCKER架构及组件DOCKER 安全威胁镜像安全威胁网络安全威胁容器安全威胁内核安全威胁DOCKER安全防御镜像安全防御容器安全防御网络安全防御内核安全防御总结与思考 DOCKER架构及组件 提到Docker的安全,那么首先就要从Docker的整个架构来入手。Docker是基于Client/Server模式来设计的,主要部分分为Docker Client、Docker Daemon、Docker Registry组成的。Docker Client为用户提供了很多操作的接口.
wydevops——微服务直上K8S云就是这么简单
sichuanwuyi的专栏
06-11 1144
ci-cd.yaml: 该文件是所有配置项解析处理后的标准文件.其内存放了5个构建阶段最终的所有配置参数. 当因配置错误中断执行后, 我们想修改配置后从报错的阶段开始继续运行后面的过程时, 不能去修改ci-cd-config.yaml里面的参数,而要修改ci-cd.yaml中的参数才能其作用. 因为接续执行后面过程时-c标志会被删除, 此时不会执行从ci-cd-config.yaml读取参数的过程了.》介绍了wydevops本地工作模式下,直接从源码生成docker镜像并在配置的节点上运行起来。
Docker常见问题整理(一)
whizkidlxh的专栏
05-14 1878
问题dockerpycreds.errors.InitializationError: docker-credential-osxkeychain not installed or not available in PATH 具体内容: Dockerfile文件内容 FROM mysql:5.7 MAINTAINER larcnhan([email protected]) RUN ln -...
Docker容器: 那些你不知道的事
Hardy
02-12 7577
先说说我们知道的事,Docker 是 PaaS 提供商 DotCloud 开源的一个高级容器引擎,源代码托管在 Github 上,基于go语言并遵从Apache2.0协议开源。Docker相当于物理行业的集装箱对物流的影响一样,成为Container上运行镜象的统一打包和交换的标准,Docker介绍请参看文章容器演进和技术基础介绍。
Docker 2375端口暴露引发的安全风险及修复策略
Docker暴露2375端口事件引起了广泛关注,这一安全漏洞源于Docker Daemon的远程管理接口设计。Docker提供远程管理功能,以便于集群管理和运维,其守护进程DockerDaemon在后台运行,监听2375端口,用于处理来自Docker ...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值