Skip to content
EN

Порт 2375: Docker daemon (unsecured)

Коротко:

Порт 2375 (TCP) — стандарт для Docker daemon (unsecured). Порт 2375 — Docker daemon REST API без TLS. 2376 — с TLS. Exposed 2375 в публичном интернете = instant full host compromise: attacker запускает privileged контейнер, mount-ит / и п

Ниже: что работает на этом порту, безопасность, онлайн-проверка, FAQ.

Проверить доступность и порты →

Что работает на этом порту

Docker daemon (unsecured)

Порт 2375 — Docker daemon REST API без TLS. 2376 — с TLS. Exposed 2375 в публичном интернете = instant full host compromise: attacker запускает privileged контейнер, mount-ит / и получает root на host. Shodan находит тысячи таких серверов.

Безопасность

КРИТИЧНО: никогда не exposed 2375 публично. Known crypto-mining botnets сканируют 2375 24/7. Используйте 2376 + TLS + client cert auth, или Unix socket /var/run/docker.sock локально.

Проверить порт онлайн

Проверить порт онлайн →

Ping + Port Checker Enterno.io проверяет TCP-доступность любого порта из 3 регионов (Москва / Франкфурт / Вирджиния).

TL;DR: Порт 2375 (TCP) и его уязвимости

Порт 2375 (TCP) используется для незащищенного доступа к Docker daemon, что создает серьезные риски безопасности. Без применения TLS, любой пользователь в сети может получить полный контроль над Docker, включая возможность запуска контейнеров, доступа к файловой системе хоста и управления ресурсами. Рекомендуется использовать защищенные соединения через порт 2376 с включенным TLS для защиты доступа к Docker API.

Что такое порт 2375 и его назначение

Порт 2375 (TCP) является стандартным портом для взаимодействия с Docker daemon без шифрования. Этот порт позволяет разработчикам и администраторам управлять контейнерами, образами и ресурсами Docker через API. Однако отсутствие шифрования делает этот порт уязвимым для атак, так как любой злоумышленник, имеющий доступ к сети, может отправлять команды на Docker daemon и управлять контейнерами.

Docker daemon предоставляет REST API, который позволяет выполнять такие операции, как:

  • GET /containers/json — получение списка контейнеров;
  • POST /containers/create — создание нового контейнера;
  • DELETE /containers/{id} — удаление контейнера.

Использование порта 2375 без защиты часто встречается в тестовых и локальных средах, но в производственной среде это крайне не рекомендуется. Злоумышленники могут использовать уязвимости для выполнения произвольного кода, что может привести к компрометации всей системы.

Пример настройки безопасного доступа к Docker daemon

Для обеспечения безопасности доступа к Docker API рекомендуется использовать порт 2376, который поддерживает TLS. Вот пример настройки Docker daemon для работы через защищенный порт:

sudo dockerd --tlsverify --tlscacert=/path/to/ca.pem --tlscert=/path/to/server-cert.pem --tlskey=/path/to/server-key.pem -H=0.0.0.0:2376

В этом примере:

  • --tlsverify — включает проверку TLS;
  • --tlscacert — указывает путь к сертификату центра сертификации;
  • --tlscert — указывает путь к сертификату сервера;
  • --tlskey — указывает путь к закрытому ключу сервера;
  • -H=0.0.0.0:2376 — устанавливает хост и порт, на котором будет слушать Docker daemon.

После настройки вы сможете подключаться к Docker daemon с использованием клиента Docker через защищенное соединение:

docker --tlsverify -H=tcp://:2376 --tlscacert=/path/to/ca.pem --tlscert=/path/to/client-cert.pem --tlskey=/path/to/client-key.pem ps

Этот подход обеспечивает необходимую защиту и предотвращает несанкционированный доступ к вашему Docker окружению.

Больше по теме

Источники

Часто задаваемые вопросы

Открыт ли порт 2375 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 2375 в Security Group или firewall.

Как проверить, открыт ли порт 2375?

Используйте <a href="/ping">Ping + Port Checker Enterno.io</a>. Или в shell: <code>nc -vz example.com 2375</code>.

Безопасно ли открывать порт 2375?

Зависит от сервиса. Docker daemon (unsecured) никогда не должен открываться публично без аутентификации + TLS. См. <a href="/s/research-open-ports-exposure-2026">наше исследование exposure 2026</a>.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.