docker容器內怎么打補丁

docker容器內怎么打補??？容器鏡像中包含了很多的插件及軟件包，需要對這些軟件包進(jìn)行漏洞掃描，并根據結果安裝補丁或更新軟件，大多數云容器系統都容易受到潛在攻擊。如果你正在運行任何類(lèi)型的容器，需要盡快打補丁。

只要docker容器在本地開(kāi)發(fā)環(huán)境中運行，就沒(méi)有安全問(wèn)題。因為測試環(huán)境是與外部連接隔離的，是無(wú)法確定在外部是否完全的。當你的Docker鏡像部署在生產(chǎn)環(huán)境中時(shí)，因為需要處理外部網(wǎng)絡(luò )訪(fǎng)問(wèn)，安全性自然成為一個(gè)問(wèn)題。

為了預防這個(gè)問(wèn)題，首先需要確保Docker容器所在的主機被修補了最新的安全更新，其次Docker容器中也更新了安全補丁。

所有版本的Docker都容易受到一種競態(tài)條件（race condition）的攻擊，這種競態(tài)條件可能使攻擊者對主機系統上的任何文件擁有讀取權限和寫(xiě)入權限。概念驗證代碼已發(fā)布。

該漏洞類(lèi)似CVE-2018-15664，它為黑客修改資源路徑提供了一個(gè)機會(huì )窗口，這個(gè)機會(huì )窗口出現在路徑被解析之后，但被分配的程序開(kāi)始對資源進(jìn)行操作之前的時(shí)間點(diǎn)。這被稱(chēng)為檢查時(shí)間/使用時(shí)間（TOCTOU）類(lèi)型的漏洞。

該漏洞源于 FollowSymlinkInScope 函數，該函數容易受到基本的TOCTOU攻擊的影響。這個(gè)函數的目的是如同進(jìn)程在Docker容器的內部那樣對待進(jìn)程，以一種安全的方式來(lái)解析指定的路徑。不立即針對解析的路徑進(jìn)行操作，而是“稍微過(guò)一段時(shí)間進(jìn)行操作”。攻擊者可以推測這個(gè)時(shí)間差，添加一條符號鏈接（symlink）路徑，該路徑可能最終解析擁有root權限的主機。

這可以通過(guò)“docker cp”實(shí)用程序來(lái)實(shí)現，該實(shí)用程序允許在容器和本地文件系統之間復制內容。

特網(wǎng)科技的容器云是通過(guò)docker技術(shù)，在集群服務(wù)器上部署容器服務(wù)實(shí)現，安全可靠，擁有上萬(wàn)Linux鏡像，功能強大、輕量靈活，可輕松作集群服務(wù)，自由輕松搭建私有網(wǎng)絡(luò )。

高性?xún)r(jià)比的容器云產(chǎn)品鏈接 http://wap.friendlycc.com.cn/host/