Posted inDocker

Docker Socketのセキュリティ:’/var/run/docker.sock’をハッカーのバックドアにしないために

Docker tutorial - IT technology blog
Docker tutorial - IT technology blog

/var/run/docker.sockという名の悪夢

DevOpsエンジニアの皆さんにとって、TraefikやPortainerのセットアップ時に- /var/run/docker.sock:/var/run/docker.sockという設定行はお馴染みでしょう。コピペするだけで動作するので非常に便利ですが、実は「虎の尾を踏む」ような行為であることをご存知でしょうか。多くのセキュリティレポートにおいて、Docker Socketの不適切な使用は、ハッカーがコンテナブレイクアウト(コンテナ脱獄)を実行するための最短ルートであると指摘されています。

正直なところ、Docker Socketは万能鍵のようなものです。このファイルをマウントしたコンテナは、ホスト全体をルート権限で制御できてしまいます。ハッカーは、脆弱なWebアプリケーションを乗っ取るだけで、このソケットを介してデータベースを削除したり、サーバーをマイニングマシンに変えたりすることが可能です。「コンテナの一覧表示」権限が欲しいだけなのに、管理者権限まで渡していませんか?これは、かつて私も犯した初歩的なミスです。

一般的なDocker APIへの3つのアプローチ

アプリケーションをDocker APIに接続するために一般的に使われる方法を比較してみましょう:

  • ソケットを直接マウント: 素早く簡単ですが、非常に危険です。コンテナがハッキングされた場合、VPS全体を失うことになります。
  • TCP経由でDockerを公開 (ポート 2375/2376): この方法は、TLSの設定を完璧に行う必要があります。不注意で証明書なしにポートを公開してしまうと、Shodanなどのスキャンツールに数分で見つかってしまいます。
  • プロキシ(Tecnativa)を介する: これが最も推奨される解決策です。Docker Socketの前にスマートなファイアウォールとして機能し、必要なアクセスのみを許可します。

なぜTecnativa Docker Socket Proxyが最良の選択なのか?

NginxやHAProxyを自分で複雑に設定する代わりに、私はTecnativa Docker Socket Proxyを選びます。このイメージはHAProxyをベースに構築されており、ソケットに送信されるHTTPリクエストのフィルタリングに特化しています。

注目すべきメリット:

  • きめ細かな権限管理: 「マシンAには一覧表示(GET)のみを許可し、マシンBにはコンテナの再起動(POST)を許可する」といった設定が可能です。
  • 破壊的行為の阻止: デフォルトでは、プロキシはすべての書き込み権限をブロックします。権限を付与するには、環境変数を通じて明示的に宣言する必要があります。
  • 100%の互換性: TraefikやPortainerなどのツールは、接続URLをtcp://docker-proxy:2375に変更するだけでスムーズに動作します。

実際のパフォーマンス:

リソースの消費を心配する方もいるかもしれませんが、実際、このコンテナが使用するRAMはわずか15〜20MB程度です。システム全体の安全性を確保するためのコストとしては、非常に安価だと言えます。

5分でできる実際の導入手順

Docker Compose V2を使用したセットアップ例を紹介します。これは実際のプロジェクトにおいて非常に簡潔で管理しやすい方法です。

ステップ1:プロキシの設定

セキュリティインフラ用のdocker-compose.ymlファイルを作成します:

services:
  docker-proxy:
    image: tecnativa/docker-socket-proxy
    container_name: docker-proxy
    restart: always
    environment:
      - CONTAINERS=1 # コンテナの一覧表示を許可
      - NETWORKS=0   # ネットワーク操作を禁止
      - IMAGES=0     # イメージ管理を禁止
      - VOLUMES=0    # ボリューム操作を禁止
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
    networks:
      - backend-secure

networks:
  backend-secure:
    external: true

ソケットのボリュームにro(読み取り専用)モードを使用している点に注目してください。これは、物理的な保護レイヤーの第一歩であり、スクリプトによる元のソケットファイルへの書き込みを防ぎます。

ステップ2:プロキシ経由でTraefikを接続

ソケットファイルに直接アクセスするのではなく、作成した「監視所」を介してTraefikを構成します:

services:
  traefik:
    image: traefik:v3.0
    command:
      - "--providers.docker=true"
      - "--providers.docker.endpoint=tcp://docker-proxy:2375"
      - "--providers.docker.exposedByDefault=false"
    networks:
      - backend-secure
    depends_on:
      - docker-proxy

両方を同じ内部networkに配置することを忘れないでください。これにより、外部からプロキシのポート2375に直接アクセスされるのを防ぐことができます。

運用上の重要なアドバイス

数年間の運用を経て、私が常にチームに伝えていることは以下の通りです:

  1. ログを確認してトラブルシューティング: アプリケーションが403 Forbiddenエラーを返した場合は、すぐにプロキシのログを確認してください。どのAPIコールがブロックされているかが正確に分かり、必要に応じて適切に権限を調整できます。
  2. 最小権限の原則を優先: 面倒だからといって、すべてにPOST=1を設定しないでください。Watchtowerには更新のためにイメージ権限が必要ですが、Traefikにはその権限を絶対に与えるべきではありません。
  3. ネットワークの隔離: 絶対にホスト側にポート2375をマップしないでください(ports: - 2375:2375は避けてください)。内部ネットワーク内に隠蔽したままにしましょう。

サーバーが乗っ取られるまでセキュリティを放置しないでください。わずか5分のリファクタリングで、夜も安心して眠れるようになります。皆さんの導入が成功することを願っています!

Share:
Tags: