接入支付宝之后,收到了网站漏洞提醒的邮件,其中有一个高危漏洞,是关于docker的。
之前一直以为docker是隐藏在防火墙之后的,从外网需要通过apache的反向代理才能访问,但是事实并不是,原来docker一直是对外网公开的。
这一点一直到收到安全报告才发现,之前对docker的网络配置的理解都错了,当在docker命令中配置端口转发的那一刻,就已经在防火墙上开了个洞。
之前的理解是端口转发只是把容器的内部端口监听在主机的某个端口而已,然而事实是端口转发还在防火墙上创建了一个iptables规则,外部也能够访问。
为了通过支付宝的安全审核,暂时把docker容器都删除了。
There are no comments yet