Как защитить postgresql в контейнере докера?

Question

Александр @alexxanditi

Как защитить postgresql в контейнере докера?

Мне досталось работающее приложение на питоне, которое работает в докере, и отдельно запускается контейнер с базой данных. В docker-compose раздел базы данных, вот так:

db:
    image: postgres:latest
    environment:
      POSTGRES_PASSWORD: postgres
      POSTGRES_USER: postgres
      POSTGRES_DB: databaseapp
    ports:
      - "5400:5432"
    volumes:
      - ./db_data:/var/lib/postgresql/data
    restart: always

Связаться с фрилансером который делал приложение нет возможности, я сейчас это разгребаю. Вижу что база данных светится наружу в интернет, да еще и с дефолтным паролем.

Понятно что поменяют пароль. Но как лучше защитить базу?
Настроить ufw с помощью вот этих костылей? https://github.com/chaifeng/ufw-docker
Или копать iptables для Docker?
Подскажите)

Вопрос задан 19 дек. 2023
1040 просмотров

4 комментария

Подписаться 2 Средний 4 комментария

Владислав Лысков @Vlatqa

зачем эти костыли, закрой просто доступ порта наружу через нативный iptables

Написано 19 дек. 2023
Владислав Лысков @Vlatqa

да и вообще он по дефолту должен быть закрыт, у тебя просто порт 5400 вместо 5432, сделай как положено, поменяй на 5432 и все будет ок

Написано 19 дек. 2023
nsnoob @nsnoob

Владислав Лысков, если правильно помню, то внутри контейнера все запросы идут от локалхоста, а у постгреса открыто по нему дефолтом, так что он получается открыт всем кто стучится извне

Написано 19 дек. 2023
Valentin Barbolin @dronmaxman

Если приложение и база на одном сервере, то сделай так
ports:
- "127.0.01:5400:5432"

Написано 19 дек. 2023

Решения вопроса 1

1 комментарий

Пригласить эксперта

Ответы на вопрос 4

4 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Django

+2 ещё

Простой
Как подключить Django к MongoDB?
- 2 подписчика
- час назад
- 40 просмотров
1

ответ
PostgreSQL

+1 ещё

Простой
Как маппить результат запроса бд в структуры со вложенностями Golang?
- 1 подписчик
- час назад
- 16 просмотров
0

ответов
PostgreSQL

+2 ещё

Простой
Как создать категории с подкатегориями nestjs, prisma, postgresql или recursive relationships with prisma?
- 1 подписчик
- вчера
- 37 просмотров
0

ответов
PostgreSQL

+2 ещё

Средний
PostgreSQL для 1с. Как перенести каталог с базами на другой сервер?
- 4 подписчика
- вчера
- 1194 просмотра
1

ответ
Java

+2 ещё

Простой
Как хранить изображения в PostgreSql?
- 1 подписчик
- 28 апр.
- 192 просмотра
2

ответа
C++

+1 ещё

Средний
Dbeaver C++ connection error?
- 1 подписчик
- 26 апр.
- 63 просмотра
0

ответов
Docker

+1 ещё

Простой
Как на asp .net 7 подключить ssl для https протокола?
- 3 подписчика
- 25 апр.
- 511 просмотров
1

ответ
Docker

+2 ещё

Простой
Docker+3Proxy + Radius «failed with code 1»?
- 1 подписчик
- 24 апр.
- 46 просмотров
1

ответ
PostgreSQL

Простой
Нужен ли первичный ключ в таблицах PostgreSQL?
- 1 подписчик
- 23 апр.
- 165 просмотров
3

ответа
Docker

Простой
Как при использовании Docker получить доступ к ssl сертификатам во время сборки?
- 1 подписчик
- 23 апр.
- 120 просмотров
0

ответов
Показать ещё Загружается…

Разработчик баз данных PostgreSQL

Объединенные системы управления транспортом • Москва

До 220 000 ₽

DBA / Администратор баз данных PostgreSQL

СберТех • Москва

от 320 000 ₽

Администратор PostgreSQL

Гринатом

До 200 000 ₽

Гейм дизайнер

01 мая 2024, в 16:45

120000 руб./за проект

Дизайн для IOS утилиты по техническому заданию

01 мая 2024, в 15:48

18000 руб./за проект

Pandas Django Консультация

01 мая 2024, в 15:17

500 руб./в час

зачем эти костыли, закрой просто доступ порта наружу через нативный iptables
да и вообще он по дефолту должен быть закрыт, у тебя просто порт 5400 вместо 5432, сделай как положено, поменяй на 5432 и все будет ок
Владислав Лысков, если правильно помню, то внутри контейнера все запросы идут от локалхоста, а у постгреса открыто по нему дефолтом, так что он получается открыт всем кто стучится извне
Если приложение и база на одном сервере, то сделай так
ports:
- "127.0.01:5400:5432"

Answer 1 · 2023-12-19 20:09:39

Уберите из docker-compose
"ports:
- "5400:5432"
и порт не будет публиковаться наружу, будет доступен только на внутреннем ip адресе вашего контейнера docker.
Для подключения или используйте внутренние имена контейнеров, или создайте отдельную подсеть docker (подсеть по умолчанию не дает выдавать контейнерам статические ip адреса) и переведите оба контейнера на ее использование с выдачей статических ip адресов.

Answer 2 · 2023-12-19 17:16:23

Алексей Ярков @yarkov

Помог ответ? Отметь решением.

база данных светится наружу в интернет

Для чего? Почему просто не выставлять наружу порт?

Ответ написан 19 дек. 2023

4 комментария

Answer 3 · 2023-12-19 17:16:28

Сергей Соловьев @AshBlade

Просто хочу быть счастливым

- SSL/TLS
- Сильный пароль
- Прокси сервер
- Файрвол

Ответ написан 19 дек. 2023

Комментировать

Answer 4 · 2023-12-19 17:52:20

Ну если наружу ненадо - заблокируйте внешние входящие с помощью iptables или ufw....

Answer 5 · 2023-12-26 09:07:45

в довесок к прокси
hba config или как его.. у postgres есть настройки, через которые можно определить с каких хостов к нему можно подключаться

Как защитить postgresql в контейнере докера?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт