当发现影响Linux内核的漏洞时,我应该如何处理Docker?

假设我有一台运行Docker的Ubuntu主机.

这个主机包含许多运行容器,它们使用许多不同的基本映像(FROM),例如ubuntu,alpine,java:8 ……

该主机还包含一些手工构建的图像.

今天,我能够停止并移除所有容器,然后再次创建所有容器.没有图像存储数据(我不提交容器).因此丢失我的数据不是问题.只要图像保持不变,再次获取我的服务不应成为问题.

假设已发现影响Linux内核的漏洞.

我更新了我的主机操作系统,以便主机不再容易受到攻击. Docker容器使用主机的内核来运行,但这还够吗?我应该采取哪些考虑因素和措施来确保我的容器不受漏洞的影响?

最佳答案
由于docker容器使用主机内核.更新主机内核后,您将不会遇到容器问题.

图书馆的问题是另一回事.例如,Openssl是一个库,它可以在容器和主机中有所不同,应该进行升级.

这是一个很好的做法,包括apt-get update&& apt-get -q -y在Dockerfile顶部升级.所以你应该定期构建你的图像.

如果您使用官方图像,最好定期拉一下以升级您的容器.如果你使用docker-compose:

docker-compose pull && docker-compose up -d

它会升级它们.对于普通的Docker,你需要拉动.删除容器并创建一个指向相同卷的较新容器:

docker pull image
docker stop containerid && docker rm containerid
docker run image ....

问候

转载注明原文:当发现影响Linux内核的漏洞时,我应该如何处理Docker? - 代码日志