Порт 2375 (TCP) — стандарт для Docker daemon (unsecured). Порт 2375 — Docker daemon REST API без TLS. 2376 — с TLS. Exposed 2375 в публичном интернете = instant full host compromise: attacker запускает privileged контейнер, mount-ит / и п
Ниже: что работает на этом порту, безопасность, онлайн-проверка, FAQ.
Бесплатный онлайн-инструмент — проверка ping и портов: результат мгновенно, без регистрации.
Docker daemon (unsecured)
Порт 2375 — Docker daemon REST API без TLS. 2376 — с TLS. Exposed 2375 в публичном интернете = instant full host compromise: attacker запускает privileged контейнер, mount-ит / и получает root на host. Shodan находит тысячи таких серверов.
КРИТИЧНО: никогда не exposed 2375 публично. Known crypto-mining botnets сканируют 2375 24/7. Используйте 2376 + TLS + client cert auth, или Unix socket /var/run/docker.sock локально.
Ping + Port Checker Enterno.io проверяет TCP-доступность любого порта из 3 регионов (Москва / Франкфурт / Вирджиния).
Порт 2375 (TCP) используется для незащищенного доступа к Docker daemon, что создает серьезные риски безопасности. Без применения TLS, любой пользователь в сети может получить полный контроль над Docker, включая возможность запуска контейнеров, доступа к файловой системе хоста и управления ресурсами. Рекомендуется использовать защищенные соединения через порт 2376 с включенным TLS для защиты доступа к Docker API.
Порт 2375 (TCP) является стандартным портом для взаимодействия с Docker daemon без шифрования. Этот порт позволяет разработчикам и администраторам управлять контейнерами, образами и ресурсами Docker через API. Однако отсутствие шифрования делает этот порт уязвимым для атак, так как любой злоумышленник, имеющий доступ к сети, может отправлять команды на Docker daemon и управлять контейнерами.
Docker daemon предоставляет REST API, который позволяет выполнять такие операции, как:
GET /containers/json — получение списка контейнеров;POST /containers/create — создание нового контейнера;DELETE /containers/{id} — удаление контейнера.Использование порта 2375 без защиты часто встречается в тестовых и локальных средах, но в производственной среде это крайне не рекомендуется. Злоумышленники могут использовать уязвимости для выполнения произвольного кода, что может привести к компрометации всей системы.
Для обеспечения безопасности доступа к Docker API рекомендуется использовать порт 2376, который поддерживает TLS. Вот пример настройки Docker daemon для работы через защищенный порт:
sudo dockerd --tlsverify --tlscacert=/path/to/ca.pem --tlscert=/path/to/server-cert.pem --tlskey=/path/to/server-key.pem -H=0.0.0.0:2376В этом примере:
--tlsverify — включает проверку TLS;--tlscacert — указывает путь к сертификату центра сертификации;--tlscert — указывает путь к сертификату сервера;--tlskey — указывает путь к закрытому ключу сервера;-H=0.0.0.0:2376 — устанавливает хост и порт, на котором будет слушать Docker daemon.После настройки вы сможете подключаться к Docker daemon с использованием клиента Docker через защищенное соединение:
docker --tlsverify -H=tcp://:2376 --tlscacert=/path/to/ca.pem --tlscert=/path/to/client-cert.pem --tlskey=/path/to/client-key.pem psЭтот подход обеспечивает необходимую защиту и предотвращает несанкционированный доступ к вашему Docker окружению.
Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 2375 в Security Group или firewall.
Используйте <a href="/ping">Ping + Port Checker Enterno.io</a>. Или в shell: <code>nc -vz example.com 2375</code>.
Зависит от сервиса. Docker daemon (unsecured) никогда не должен открываться публично без аутентификации + TLS. См. <a href="/s/research-open-ports-exposure-2026">наше исследование exposure 2026</a>.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.