我们收到了一份安全报告,其中一点就是服务正在监听所有接口。
我不是一名安全人员,我很难理解需要做什么以及如何去做。
“服务”是在docker容器中运行的telegraf代理:
netstat -nlpt | grep 9273
(No info could be read for "-p": geteuid()=1000 but you should be root.)
tcp 0 0 0.0.0.0:9273 0.0.0.0:* LISTEN -
显然,它可以接受机器所有接口上的通信,但是它只在本地收集信息。
我该如何限制它?
通过执行以下操作:
docker create --name telegraf -p 127.0.0.1:9277:9273 telegraf:1.18.3
我还在 telegraf 的配置中更改了这一位:
# Telegraf pull metrics configuration
[[outputs.prometheus_client]]
## Address to listen on
listen = "localhost:9273"
我无法让它在命令0.0.0.0:*的输出中不出现netstat
答案1
也许当您执行此操作时docker create --name telegraf -p 127.0.0.1:9277:9273 telegraf:1.18.3它会不断地监听,127.0.0.1:9277因为0.0.0.0:9273您没有为:9273端口部分指定任何地址?