Linuxカーネルに影響を与える脆弱性が見つかった場合は、Dockerでどうすればよいですか?

Linuxカーネルに影響を与える脆弱性が見つかった場合は、Dockerでどうすればよいですか?

Dockerを実行しているUbuntuホストがあるとしましょう。

このホストには、FROMubuntu、alpine、java:8 ...などのさまざまな基本イメージ()を使用して実行されている多くのコンテナが含まれています。

ホストには手作りの画像も含まれています。

今日はすべてのコンテナを停止、削除、再作成できました。画像にはデータは保存されません(コンテナを送信しません)。したがって、私のデータを失うことは問題ではありません。画像が同じままである限り、サービスを再起動しても問題はありません。

Linuxカーネルに影響を与える脆弱性が発見されたとします。

ホストが脆弱にならないようにホストOSを更新しました。 Dockerコンテナはホストのカーネルを使用して実行されますが、それで十分ですか?コンテナがこの脆弱性の影響を受けないようにするには、どのような予防措置と措置を講じる必要がありますか?

答え1

Dockerコンテナはホストカーネルを使用するためです。ホストカーネルが更新されたら、コンテナに問題がないはずです。

図書館の問題は別の話です。たとえば、Opensslはコンテナとホストが異なる可能性があるため、アップグレードする必要があるライブラリです。

apt-get update && apt-get -q -y upgradeDockerfileの上部にそれを追加することをお勧めします。したがって、定期的にイメージを構築する必要があります。

公式イメージを使用している場合は、定期的にインポートしてコンテナをアップグレードすることをお勧めします。 docker-composeを使用する場合:

docker-compose pull && docker-compose up -d

それはそれらをアップグレードします。通常のドッカーの場合は引っ張る必要があります。コンテナを削除し、同じボリュームを指す新しいコンテナを作成します。

docker pull image
docker stop containerid && docker rm containerid
docker run image ....

挨拶

関連情報