Hay*_*Hay 3 linux security linux-kernel docker
假设我有一台运行 Docker 的 Ubuntu 主机。
该主机包含许多正在运行的容器,这些容器使用许多不同的基础镜像 ( FROM),例如 ubuntu、alpine、java:8...
该主机还包含一些手工构建的图像。
今天,我可以停止并移除所有容器,然后再次创建所有容器。没有图像存储数据(我不提交容器)。因此,丢失我的数据不是问题。只要图像保持不变,重新启动我的服务也不应该成为问题。
假设已发现影响 Linux 内核的漏洞。
我已经更新了我的主机操作系统,以便主机不再容易受到攻击。Docker 容器使用主机的内核来运行,但这样就足够了吗?我应该采取哪些注意事项和措施来确保我的容器不受漏洞影响?
由于 docker 容器使用主机内核。更新主机内核后,您将不会遇到容器问题。
图书馆的问题是另一回事。例如,Openssl 是一个库,它在容器和主机中可能不同,应该升级。
apt-get update && apt-get -q -y upgrade在 Dockerfile 的顶部包含一个是一个很好的做法。所以你应该定期构建你的图像。
如果您使用官方镜像,最好定期进行拉取以升级您的容器。如果您使用 docker-compose:
docker-compose pull && docker-compose up -d
它将升级它们。对于普通码头工人,您需要拉动。删除容器并创建一个指向相同卷的新容器:
docker pull image
docker stop containerid && docker rm containerid
docker run image ....
问候
| 归档时间: |
|
| 查看次数: |
298 次 |
| 最近记录: |