容器安全之禁用userland代理

描述

当容器端口需要被映射时，Docker守护进程都会启动用于端口转发的userland-proxy方式。如果使用了DNAT方式，该功能可以被禁用

隐患分析

Docker引擎提供了两种机制将主机端口转发到容器,DNAT和userland-proxy。
在大多数情况下，DNAT模式是首选，因为它提高了性能，并使用本地Linux iptables功能而需要附加组件。
如果DNAT可用，则应在启动时禁用userland-proxy以减少安全风险。

审计方法

$ ps -ef|grep dockerd
或
$ cat /etc/docker/daemon.json|grep userland-proxy

确保userland-proxy配置为false

修复建议

编辑文件

$ mkdir -p /etc/docker/
$ vi /etc/docker/daemon.json

添加如下内容

"userland-proxy": false,

重载服务

$ systemctl daemon-reload
$ systemctl restart docker

参考文档

• Docker容器最佳安全实践白皮书（V1.0）
• Docker官方文档