Quando uma vulnerabilidade foi encontrada afetando o Kernel do Linux, o que devo fazer com o Docker?

Navegue suas respostas
3

Digamos que eu tenha uma máquina host Ubuntu executando o Docker.

Esse host contém muitos contêineres em execução que usam várias imagens de base diferentes ( FROM ), como o ubuntu, alpine, java: 8 ...

Este host também contém algumas imagens construídas manualmente.

Hoje, posso parar e remover todos os meus contêineres e criar todos eles novamente. Nenhuma das imagens armazena dados (eu não confirmo contêineres). Portanto, perder meus dados não é um problema. Obter meus serviços novamente não deve ser um problema, desde que as imagens permaneçam as mesmas.

Suponha que uma vulnerabilidade tenha sido encontrada afetando o kernel do Linux.

Atualizei meu sistema operacional host para que o host não fique mais vulnerável. Os contêineres do Docker usam o kernel do host para serem executados, mas isso é suficiente? Quais são as considerações e ações que devo tomar para garantir que meus contêineres não sejam afetados pela vulnerabilidade?

    
por Hay 22.10.2016 / 18:13

1 resposta

5

Como os contêineres do docker usam o kernel do host. Quando o kernel do host for atualizado, você não terá problemas com os contêineres.

Problemas em bibliotecas são outra história. Openssl, por exemplo, é uma biblioteca que pode ser diferente em containers e no host e deve ser atualizada.

É uma boa prática incluir um apt-get update && apt-get -q -y upgrade no topo do seu Dockerfile. Então você deve construir suas imagens regularmente.

Se você usa imagens oficiais, é recomendável fazer um pull regularmente para atualizar seus contêineres. Se você usa o docker-compose: 

docker-compose pull && docker-compose up -d

Ele irá atualizá-los. Para a janela simples, você precisa fazer um pull. Exclua o contêiner e crie um mais novo apontando para os mesmos volumes: 

docker pull image
docker stop containerid && docker rm containerid
docker run image ....

Atenciosamente

    
por 22.10.2016 / 21:15

Tags

Como preservar o conteúdo da variável após o pipe Posso especificar um comando personalizado antes de iniciar a sessão de bash interativa? [duplicado]