Как защитить postgresql в контейнере докера?

Question

Александр @alexxanditi

Как защитить postgresql в контейнере докера?

Мне досталось работающее приложение на питоне, которое работает в докере, и отдельно запускается контейнер с базой данных. В docker-compose раздел базы данных, вот так:

db:
    image: postgres:latest
    environment:
      POSTGRES_PASSWORD: postgres
      POSTGRES_USER: postgres
      POSTGRES_DB: databaseapp
    ports:
      - "5400:5432"
    volumes:
      - ./db_data:/var/lib/postgresql/data
    restart: always

Связаться с фрилансером который делал приложение нет возможности, я сейчас это разгребаю. Вижу что база данных светится наружу в интернет, да еще и с дефолтным паролем.

Понятно что поменяют пароль. Но как лучше защитить базу?
Настроить ufw с помощью вот этих костылей? https://github.com/chaifeng/ufw-docker
Или копать iptables для Docker?
Подскажите)

Вопрос задан более года назад
1179 просмотров

4 комментария

Подписаться 2 Средний 4 комментария

Владислав Лысков @Vlatqa

зачем эти костыли, закрой просто доступ порта наружу через нативный iptables

Написано более года назад
Владислав Лысков @Vlatqa

да и вообще он по дефолту должен быть закрыт, у тебя просто порт 5400 вместо 5432, сделай как положено, поменяй на 5432 и все будет ок

Написано более года назад
nsnoob @nsnoob

Владислав Лысков, если правильно помню, то внутри контейнера все запросы идут от локалхоста, а у постгреса открыто по нему дефолтом, так что он получается открыт всем кто стучится извне

Написано более года назад
Valentin Barbolin @dronmaxman

Если приложение и база на одном сервере, то сделай так
ports:
- "127.0.01:5400:5432"

Написано более года назад

Решения вопроса 1

1 комментарий

Пригласить эксперта

Ответы на вопрос 4

4 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Docker

Простой
Почему не запускаются docker контейнеры после перезагрузки сервера?
- 2 подписчика
- 19 дек.
- 199 просмотров
1

ответ
Linux

+1 ещё

Простой
Почему игры нельзя контейнеризировать?
- 2 подписчика
- 19 дек.
- 518 просмотров
4

ответа
Docker

Простой
Существует ли возможность комфортной работы в связке Docker+Windows+WSL2+Vite?
- 2 подписчика
- 17 дек.
- 169 просмотров
6

ответов
PostgreSQL

Простой
Почему с фильтром PostgreSQL выдаёт больше записей?
- 2 подписчика
- 15 дек.
- 192 просмотра
4

ответа
PostgreSQL

Простой
Как использовать оконные функции в Order By?
- 1 подписчик
- 15 дек.
- 68 просмотров
2

ответа
PHP

+1 ещё

Простой
Как исправить ошибку «requires ext-zip * -> it is missing from your system. Install or enable PHP's zip extension.»?
- 2 подписчика
- 14 дек.
- 157 просмотров
1

ответ
Docker

+1 ещё

Средний
Как настроить деплой в разные докер контейнеры?
- 1 подписчик
- 13 дек.
- 113 просмотров
3

ответа
PostgreSQL

Простой
Убрать другие строки из джоина?
- 1 подписчик
- 11 дек.
- 84 просмотра
1

ответ
Компьютерные сети

+3 ещё

Сложный
Не резолвится доменное имя в контейнере Docker, как можно решить проблему?
- 1 подписчик
- 11 дек.
- 225 просмотров
1

ответ
C#

+2 ещё

Средний
Как в EF Core (Npgsql) указать владельца базы данных и ее таблиц?
- 2 подписчика
- 11 дек.
- 144 просмотра
2

ответа
Показать ещё Загружается…

Разработчик PostgreSQL

Neoflex • Москва

от 90 000 до 250 000 ₽

DBA / Администратор баз данных PostgreSQL

СберТех • Москва

от 320 000 ₽

Администратор PostgreSQL

Гринатом

До 200 000 ₽

Разработка графического приложения с использованием библиотеки javaFx

22 дек. 2024, в 17:15

2000 руб./за проект

Вирусные рилсы для е-коммерс и ВБ

22 дек. 2024, в 17:11

50000 руб./за проект

Допил JS-PHP парсера

22 дек. 2024, в 16:26

2500 руб./за проект

зачем эти костыли, закрой просто доступ порта наружу через нативный iptables
да и вообще он по дефолту должен быть закрыт, у тебя просто порт 5400 вместо 5432, сделай как положено, поменяй на 5432 и все будет ок
Владислав Лысков, если правильно помню, то внутри контейнера все запросы идут от локалхоста, а у постгреса открыто по нему дефолтом, так что он получается открыт всем кто стучится извне
Если приложение и база на одном сервере, то сделай так
ports:
- "127.0.01:5400:5432"

Answer 1 · 2023-12-19 20:09:39

Уберите из docker-compose
"ports:
- "5400:5432"
и порт не будет публиковаться наружу, будет доступен только на внутреннем ip адресе вашего контейнера docker.
Для подключения или используйте внутренние имена контейнеров, или создайте отдельную подсеть docker (подсеть по умолчанию не дает выдавать контейнерам статические ip адреса) и переведите оба контейнера на ее использование с выдачей статических ip адресов.

Answer 2 · 2023-12-19 17:16:23

Алексей Ярков @yarkov

Помог ответ? Отметь решением.

база данных светится наружу в интернет

Для чего? Почему просто не выставлять наружу порт?

Ответ написан более года назад

4 комментария

Answer 3 · 2023-12-19 17:16:28

Сергей Соловьев @AshBlade

Просто хочу быть счастливым

- SSL/TLS
- Сильный пароль
- Прокси сервер
- Файрвол

Ответ написан более года назад

Комментировать

Answer 4 · 2023-12-19 17:52:20

Drno @Drno

Ну если наружу ненадо - заблокируйте внешние входящие с помощью iptables или ufw....

Ответ написан более года назад

Комментировать

Answer 5 · 2023-12-26 09:07:45

в довесок к прокси
hba config или как его.. у postgres есть настройки, через которые можно определить с каких хостов к нему можно подключаться

Как защитить postgresql в контейнере докера?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт