99%的人会中招的运维安全陋习，请规避！

docker技术给我们带来的便利自不必言，但是docker带来的安全风险却一点也不少。而且，docker daemon默认是能控制宿主iptables的，如果docker daemon使用tcp socket或者启动的容器可被外部访问，则连宿主一同沦陷也不在话下。比如下面一启动容器则将tcp/443端口对外开放了：

docker restart 
 
*nat 
 
:PREROUTING ACCEPT [8435539:534512144] 
 
:INPUT ACCEPT [1599326:97042024] 
 
:OUTPUT ACCEPT [4783949:343318408] 
 
:POSTROUTING ACCEPT [4783949:343318408] 
 
:DOCKER - [0:0] 
 
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER 
 
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER 
 
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE 
 
-A POSTROUTING -s 172.17.0.1/32 -d 172.17.0.1/32 -p tcp -m tcp --dport 443 -j MASQUERADE 
 
-A FORWARD -o docker0 -j DOCKER 
 
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
 
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT 
 
-A FORWARD -i docker0 -o docker0 -j ACCEPT 
 
-A DOCKER -d 172.23.0.3/32 ! -i br-1bf61a2fa2e7 -o br-1bf61a2fa2e7 -p tcp -m tcp --dport 443 -j ACCEPT 
 
*filter 
 
-A INPUT -s 10.0.0.0/8 -j ACCEPT 
 
-A INPUT -s 127.0.0.1 -j ACCEPT 
 
-A INPUT -j DROP 
 
#最后的规则被绕过 

8、sudo授权过大，导致自定义脚本提权

如果攻击者可修改脚本内容则提权易如反掌。

sudo script.sh 

参考链接：

script.sh：http://script.sh

9、给开发或者QA授权root权限，他搞事你背锅?

一直以来我们强调RBAC，但是运维太忙，开发测试人员需求太多时，很多运维人员会直接授权他们root权限，而他们对系统级访问控制不甚了了，因此造成的漏洞非常“可观”。

dev@pro-app-01:/home/dev$su 
 
root@pro-app-01:/home/dev#whoami 
 
root 

10、key/token/ssh私钥保存在txt文件里，也有把个人ssh私钥放在服务器的

op@pro-app-01:/home/op$ls ~/.ssh 
 
id_rsa id_rsa.pub 

11、把工作上的代码对外发布

连着遇到实习生把项目代码提交github了，回复的理由是git配错了。虽然不知真假，但我认为，至少他们是安全意识不足。

git remote add origin https://github.com/secondwatchCH/EFS.gitgit push origin master 

（编辑：青岛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!