Docker 守护进程配置之允许 Docker 更改 Iptables

描述

Iptables 用于建立、维护和检查 Linux 内核中得 IP 包过滤规则表。建议允许 Docker 守护程序自动更改 
Iptables 规则。

安全出发点

如果允许 Docker 守护进程更改 Iptables 的话,Docker 会根据用户为容器选择网络选项的方式自动对 Iptables 
进行必要的更改。建议让 Docker 服务自动更改 Iptables,这样就可以避免可能妨碍容器与外界通信的网络配置错误了
。另外,当每次选择运行容器或者修改网络选项时,可以自动更新 Iptables 的配置。

审计方法

ps -ef | grep dockerd

结果判定

确保 ‘ --iptables ’ 参数不存在,或者 ‘ --iptables=true ’。

修复措施

不要使用 ‘ --iptables = false ’ 参数启动运行 Docker 守护进程。
例如:
dockerd --iptables = false

影响

Docker 守护进程需要在启动之前启用 Iptables 规则。在 Docker 守护进程操作期间任何重新启动 Iptables 都
可能丢失 Docker 创建的规则。可以使用 iptables-persistent 持久 iptables 规则可以帮助减轻这种影响。

默认值

‘--iptables’ 设置为 'true'
    原文作者:chunqi zhi
    原文地址: https://blog.csdn.net/zhichunqi/article/details/103224211
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞