在阿里云服务器(ECS)上,Docker API 默认监听 2375(非加密)和 2376(TLS加密)端口。如果未正确配置,可能被恶意利用(如挖矿攻击)。以下是关闭和加固 Docker API 端口的完整步骤:

1. 确认 Docker API 端口状态

# 检查 Docker 是否正在监听端口
sudo netstat -tulnp | grep dockerd
  • 如果输出包含 0.0.0.0:2375:::2375,说明 API 端口已暴露(需立即关闭)。

2. 关闭 Docker API 端口(两种方法)

方法 1:修改 Docker 配置文件(推荐)
# 编辑 Docker 配置文件(通常为 /etc/docker/daemon.json)
sudo vim /etc/docker/daemon.json
  • 添加或修改以下内容,禁用远程 API,仅允许本地 Unix Socket 通信: 
    {
  "hosts": ["unix:///var/run/docker.sock"]
}
  • 重启 Docker 服务: 
    sudo systemctl restart docker
方法 2:直接修改服务启动参数
# 编辑 Docker 服务文件
sudo vim /lib/systemd/system/docker.service
  • 找到 ExecStart 行,删除 -H tcp://0.0.0.0:2375 类似参数,确保仅保留: 
    ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock
  • 重新加载配置并重启: 
    sudo systemctl daemon-reload
sudo systemctl restart docker

3. 验证端口是否关闭

# 再次检查端口监听状态
sudo netstat -tulnp | grep dockerd
  • 正确情况下应仅显示 unix socket,无 TCP 端口

4. 加固 Docker API 的其他措施

(1)启用 TLS 加密(如需远程管理)

如果必须开放远程 API,强制使用 TLS 加密(端口 2376):

# 生成 CA 和客户端证书(需替换域名)
openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca-key.pem -x509 -days 365 -out ca.pem
openssl req -newkey rsa:4096 -nodes -sha256 -keyout server-key.pem -out server.csr
openssl x509 -req -days 365 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
  • 修改 daemon.json 启用 TLS: 
    {
  "tls": true,
  "tlscert": "/path/to/server-cert.pem",
  "tlskey": "/path/to/server-key.pem",
  "hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"]
}
(2)阿里云安全组配置
  • 登录 阿里云控制台安全组 → 选择实例所在安全组。
  • 删除 2375/2376 端口的入方向规则(默认应禁止所有外网访问)。
(3)防火墙限制
# 使用 iptables 禁止外部访问 2375
sudo iptables -A INPUT -p tcp --dport 2375 -j DROP
sudo iptables -A INPUT -p tcp --dport 2376 -j DROP
# 持久化规则(Ubuntu/Debian)
sudo netfilter-persistent save

5. 监控与审计

  • 检查异常连接
    sudo journalctl -u docker | grep "connection"
  • 定期更新 Docker
    sudo apt-get update && sudo apt-get upgrade docker-ce

总结

操作 命令/步骤
关闭默认 API 端口 修改 /etc/docker/daemon.json → 只保留 unix:///var/run/docker.sock
强制 TLS 加密 配置证书并限制 hoststcp://0.0.0.0:2376
阿里云安全组 删除 2375/2376 端口的入方向规则
防火墙加固 iptables -A INPUT -p tcp --dport 2375 -j DROP

重要提醒

  • 禁止将 Docker API 暴露在公网,除非完全信任网络环境并启用 TLS。
  • 推荐使用 SSH 隧道VPN 访问 Docker,而非直接开放端口。
# 阿里云 # 服务器 # docker
Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路

Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。

avatar 腾讯云开发者社区

Elasticsearch复杂数据类型终极指南:从入门到精通

Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可

avatar 腾讯云开发者社区

如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南

Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git

avatar 腾讯云开发者社区