質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

docker-compose

docker-composeとは、複数のコンテナで構成されるサービスを提供する手順を自動的し管理を簡単にするツール。composeファイルを使用しコマンド1回で設定した全サービスを作成・起動することが可能です。

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

MariaDB

MariaDBは、MySQL派生のオープンソースなリレーショナルデータベースシステムです。 また、MySQLとほぼ同じデータベースエンジンに対応しています。

Docker

Dockerは、Docker社が開発したオープンソースのコンテナー管理ソフトウェアの1つです

Q&A

解決済

2回答

5553閲覧

dockerコンテナのポートを閉じるにはどのようにしたら良いでしょうか?

bws

総合スコア98

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

docker-compose

docker-composeとは、複数のコンテナで構成されるサービスを提供する手順を自動的し管理を簡単にするツール。composeファイルを使用しコマンド1回で設定した全サービスを作成・起動することが可能です。

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

MariaDB

MariaDBは、MySQL派生のオープンソースなリレーショナルデータベースシステムです。 また、MySQLとほぼ同じデータベースエンジンに対応しています。

Docker

Dockerは、Docker社が開発したオープンソースのコンテナー管理ソフトウェアの1つです

0グッド

0クリップ

投稿2019/03/21 08:51

編集2019/03/21 09:30

誰かがmysqlのrootユーザーでログインしようとして失敗しています。

上の質問でmysqlのポートが空いているのが原因だということがわかりました。

ss -ltupnでポートの状態を確認したところ以下のようになっていました。

$ ss -ltupn Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port udp UNCONN 0 0 127.0.0.1:323 *:* udp UNCONN 0 0 ::1:323 :::* tcp LISTEN 0 128 *:10022 *:* tcp LISTEN 0 100 127.0.0.1:25 *:* tcp LISTEN 0 128 :::443 :::* tcp LISTEN 0 128 :::10022 :::* tcp LISTEN 0 128 :::3306 :::* tcp LISTEN 0 128 :::80 :::* tcp LISTEN 0 100 ::1:25 :::*

仮想サーバーのポートが利用されているということらしいので、調べてみたところdockerのmariadbのコンテナだということがわかりました。(コンテナを停止するとポートも閉じます)

以下のように3306ポートを閉じてみたのですが、変わらずアクセスできてしまいます。

dockerコンテナのポートを閉じるにはどのようにしたら良いでしょうか?

$ sudo firewall-cmd --add-port=3306/tcp --zone=public $ ss -tlpn State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 *:10022 *:* LISTEN 0 100 127.0.0.1:25 *:* LISTEN 0 128 :::443 :::* LISTEN 0 128 :::10022 :::* LISTEN 0 128 :::3306 :::* LISTEN 0 128 :::80 :::* LISTEN 0 100 ::1:25 :::*

コード

// docker-compose.yml version: "2" services: proxy: image: jwilder/nginx-proxy container_name: proxy ports: - "80:80" - "443:443" volumes: - /var/run/docker.sock:/tmp/docker.sock:ro - ./certs:/etc/nginx/certs:ro - /etc/nginx/vhost.d - /usr/share/nginx/html restart: always letsencrypt: image: jrcs/letsencrypt-nginx-proxy-companion container_name: letsencrypt volumes: - ./certs:/etc/nginx/certs - /var/run/docker.sock:/var/run/docker.sock:ro volumes_from: - proxy restart: always mysql: image: mariadb container_name: mysql command: > --character-set-server=utf8mb4 --collation-server=utf8mb4_general_ci --max-allowed-packet=128M ports: - "3306:3306" environment: MYSQL_ROOT_USER: root MYSQL_ROOT_PASSWORD: pass MYSQL_DATABASE: database volumes: - ./mysql:/var/lib/mysql restart: always networks: default: external: name: shared

追記

sudo tail -f /var/log/messagesでアクセスログを確認しました。
誰かがrootでログインしようとしている為、アクセスできてしまうと判断していました。

Mar 21 12:47:09 tk2-401-41635 journal: 2019-03-21 3:47:09 1993 [Warning] Access denied for user 'root'@'138.197.72.201' (using password: YES) Mar 21 12:47:11 tk2-401-41635 journal: 2019-03-21 3:47:11 1994 [Warning] Access denied for user 'root'@'185.41.250.46' (using password: YES) Mar 21 12:47:12 tk2-401-41635 journal: 2019-03-21 3:47:12 1995 [Warning] Access denied for user 'root'@'185.41.250.49' (using password: YES) Mar 21 12:47:17 tk2-401-41635 journal: 2019-03-21 3:47:17 1996 [Warning] Access denied for user 'root'@'149.210.179.131' (using password: YES) Mar 21 12:47:25 tk2-401-41635 journal: 2019-03-21 3:47:25 1997 [Warning] Access denied for user 'root'@'68.183.78.175' (using password: YES) Mar 21 12:47:39 tk2-401-41635 journal: 2019-03-21 3:47:39 1998 [Warning] Access denied for user 'root'@'91.223.68.140' (using password: YES) Mar 21 12:47:46 tk2-401-41635 journal: 2019-03-21 3:47:46 1999 [Warning] Access denied for user 'root'@'157.230.16.196' (using password: YES) ・ ・ ・

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2019/03/21 09:27

変わらずアクセスできてしまいます これはどのように検証しましたか?
bws

2019/03/21 09:35 編集

ありがとうございます! もともとrootでmysqlにログインしようとしているのを防ぎたかったので、`sudo tail -f /var/log/messages`でアクセスされているか確認したところ変わらずアクセスされていました。
TaichiYanagiya

2019/03/21 12:43

mysql の ports で 3306 番ポートを EXPOSE していますが、それを止めればいいのでは?
退会済みユーザー

退会済みユーザー

2019/03/21 12:46

portsとexposeは別機能ですよ。
TaichiYanagiya

2019/03/21 13:50

Dockerfile の EXPOSE の意味です。 外部に公開する必要がなければ ports は不要では?という意図です。
bws

2019/03/22 02:05

portsが不要という点がとてもヒントになりました、ありがとうございます!
guest

回答2

0

自己解決

Dockerでマストドンやってたら、遮断したはずのポートが丸見えだった件

リンクの方法でアクセスできないようにすることができました。

コード

// docker-compose.yml . . . ports: - "127.0.0.1:3306:3306"

Dockerコンテナは、独自にIPが振られている。

その独自のIPというのは、仮想ブリッジを使って実現している。
Dockerコンテナが開いている3000ポートなどは、
アプリがLISTENしているようなものではなく、
ルーティングによってフォワーディングされている。
iptablesでは、PREROUTINGチェーンでFORWARDかINPUTかを判別してる。
3000宛に来た通信は、INPUTじゃない
iptables的にはFORWARDで、仮想のIP当てに転送する通信なんだ。

投稿2019/03/22 02:04

bws

総合スコア98

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

firewall-cmdコマンドの使い方

ランタイムルールをパーマネントルールに保存、という項目がありますがこれでどうでしょう

投稿2019/03/21 09:31

y_waiwai

総合スコア87719

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

bws

2019/03/21 10:03

ありがとうございます! 3.2 ランタイムルールをパーマネントルールに保存の手順通り行ったのですが、追記1のようにかわらずアクセスされてしまっていました。
y_waiwai

2019/03/21 10:09

アクセスされる、って自体は止めようがないので、 実際にそれでログインができるのかどうかを見てみよう
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問