Linux
當發現影響 Linux 核心的漏洞時,我應該如何處理 Docker?
假設我有一台執行 Docker 的 Ubuntu 主機。
該主機包含許多正在執行的容器,這些容器使用許多不同的基礎鏡像 (
FROM
),例如 ubuntu、alpine、java:8…該主機還包含一些手工建構的圖像。
今天,我可以停止並移除我所有的容器,然後再次創建它們。沒有圖像儲存數據(我不送出容器)。因此,失去我的數據不是問題。只要圖像保持不變,再次啟動我的服務應該不是問題。
假設已發現影響 Linux 核心的漏洞。
我已經更新了我的主機作業系統,以便主機不再容易受到攻擊。Docker 容器使用主機的核心來執行,但這是否足夠?我應該採取哪些注意事項和措施來確保我的容器不受漏洞影響?
由於 docker 容器使用主機核心。更新主機核心後,容器就不會出現問題。
圖書館的問題是另一回事。例如,Openssl 是一個庫,它在容器和主機中可能不同,應該升級。
apt-get update && apt-get -q -y upgrade
在 Dockerfile 的頂部包含一個很好的做法。因此,您應該定期建構圖像。如果您使用官方鏡像,最好定期進行拉取以升級您的容器。如果你使用 docker-compose:
docker-compose pull && docker-compose up -d
它將升級它們。對於普通的碼頭工人,您需要拉動。刪除容器並創建一個指向相同卷的新容器:
docker pull image docker stop containerid && docker rm containerid docker run image ....
問候