公開ホストのセキュリティがガバガバだった話 - Ryoto's Blog
会社のお金でセキュリティ講習を受けている時に紹介された、OSINT検索エンジンのShodanを使って自分の公開ホストを調べてみたら、ufwでブロックしていたはずのポートが公開されていた。 本当にあった怖い話 それの修正ついでにnginxの設定もガバっていたので、併せて修正した。 その1. dockerでpublishしたポートがufwをすり抜ける 構成 ホスト上にリバースプロキシ用のnginxを立て、各サイトはdocker上で走らせている。 また、一部サイトはhttpがホスト上で動作しており、DBのみコンテナ化されている。 ホスト-コンテナ通信のため、コンテナでexposeされているポートをホストにpublishしている。 ただし、外部から直接アクセスされたくないため、これらのポートはufwでブロックしている(厳密にはallowをしていないと言った方が正しい)。 現象 以下のコマンドやdo
dockerとufwの設定が独立なせいで無駄にポートが開いてしまう件と、解決するためのdocker runオプションの記法について - Qiita
はじめに docker、便利ですよね。使ってますか?わたしは今まで、dockerを使っていくつかのサーバを構築してきています。mastodon、wordpress、他、仕事に使うgitbucketやらredmineやらのwebアプリを始めとしたあれこれ。立ち上げるのも潰すのもデータバックアップからサーバ移行も、設定次第でらくらくです。 ufw、便利ですよね。使ってますか?外部公開するサーバで必要なファイアウォールの設定、ちまちまとiptablesをいじるのは辛すぎですよね。http, https, sshだけ受け止められればあとは全部よしなにdenyしてほしい。そんな思いをufwは簡単に叶えてくれます。(こんな感じ) この記事では、そんな便利なdockerとufwの設定が完全に独立だったせいで発生した、セキュリティ的に嫌な事象の紹介と、その解決策を紹介します。 ヤバい設定条件 まず、ufw
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
