描述
Iptables 用于建立、维护和检查 Linux 内核中得 IP 包过滤规则表。建议允许 Docker 守护程序自动更改
Iptables 规则。
安全出发点
如果允许 Docker 守护进程更改 Iptables 的话,Docker 会根据用户为容器选择网络选项的方式自动对 Iptables
进行必要的更改。建议让 Docker 服务自动更改 Iptables,这样就可以避免可能妨碍容器与外界通信的网络配置错误了
。另外,当每次选择运行容器或者修改网络选项时,可以自动更新 Iptables 的配置。
审计方法
ps -ef | grep dockerd
结果判定
确保 ‘ --iptables ’ 参数不存在,或者 ‘ --iptables=true ’。
修复措施
不要使用 ‘ --iptables = false ’ 参数启动运行 Docker 守护进程。
例如:
dockerd --iptables = false
影响
Docker 守护进程需要在启动之前启用 Iptables 规则。在 Docker 守护进程操作期间任何重新启动 Iptables 都
可能丢失 Docker 创建的规则。可以使用 iptables-persistent 持久 iptables 规则可以帮助减轻这种影响。
默认值
‘--iptables’ 设置为 'true'