修复docker无视ufw防火墙的问题

巨坑！docker 无视系统防火墙，在防火墙端口未开启的情况下允许公网访问，造成重大安全隐患。官方无视该问题：https://github.com/moby/moby/issues/4737 万能的网友通过以下方法解决：

修改docker配置文件

新增配置文件路径 /etc/docker/daemon.json 禁止docker修改iptable配置

"iptables": false

ufw default allow routed

文件路径 /etc/ufw/before.rules 在文件最后新增

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING ! -o net -s 172.18.0.0/16 -j MASQUERADE
COMMIT

注：网桥IP：172.18 通过命令docker network inspect net名称查看，配置错误宿主机无法访问映射的docker端口。

ufw allow from 172.18.0.0/16

注：如果不设置容器没有links配置是不能访问到其他容器端口的，也不能访问到宿主机端口。

ufw disable
ufw enable

systemctl daemon-reload 
systemctl restart docker

未被允许访问的端口公网无法访问了。

目前服务器存储情况：目标是把三块新的 10 T 磁盘（/dev/sdc、/dev/sdd、/dev/sde）加入现有的 LVM 逻辑卷 /dev/mapper/ubuntu--vg--data-ubuntu--data，并按 LVM 的流程安全扩容。下面是完整步骤：一、确认当前结构你的现有结构

漏洞介绍该漏洞是 Linux 系统中 Polkit 组件的 pkexec 工具存在的本地权限提升漏洞，也被称为PwnKit。漏洞原理 pkexec 是一个 SUID 工具，允许非特权用户根据策略以特权身份执行命令。漏洞源于 pkexec 在处理参数时逻辑错误，导致环境变量被错误地当作命令执行。攻