Docker 紧急安全更新,多重保障让您的应用更加安全!
出品丨Docker公司(ID:docker-cn)
编译丨小东
每周一、三、五,与您不见不散!
2月11日,Docker 发布了一个更新包来修复 runC 中的权限提升漏洞(CVE-2019-5736),这是在 Docker Engine 和 containerd 中使用 Open Container Initiative(OCI) 的运行时规范。这个漏洞使恶意参与者有可能通过创建专门制作的容器镜像来获得主机上的管理特权。Docker 工程师与 OCI 上的 runC 维护人员通力合作,专门为该漏洞发布了补丁。
Docker 官方建议立即进行应用更新以避免出现任何潜在的安全威胁。对于 Docker Engine-Community 用户,这意味着要更新到 18.09.2 或 18.06.2 版本。对于 Docker Engine- Enterprise 用户,这意味着要更新到 18.09.2、18.03.1-ee-6 或 17.06.2-ee-19 版本。根据 Ubuntu 和 RHEL 操作系统的具体说明,请在应用更新之前阅读发布说明(浏览 https://docs.docker.com/engine/release-notes/ 查看发布说明)。
解决该漏洞的 Docker Engine 版本摘要:
为了更好地保护 Docker Engine 运行的容器镜像,以下是一些额外的建议和最佳实践。
使用 Docker 官方图像
官方图像是一组托管在 Docker Hub 上的 Docker 镜像仓库,旨在:
- 提供必要的基本操作系统镜像仓库(例如:ubuntu 以及 centos),作为大多数用户的起点;
- 为流行的编程语言运行时、数据存储和其他服务提供通用的解决方案;
- 列举 Dockerfile 的最佳实践,并提供清晰的文档,以供其他 Dockerfile 作者参考。特定于这个漏洞,以非特权用户的身份运行容器(如 Dockerfile 中的用户实践一节所述)可以缓解该问题;
- 确保应用及时进行安全更新。应立即进行应用安全更新,用户应该重建并发布其镜像,这一点尤为重要,因为许多官方镜像是 Docker Hub 上最受欢迎的镜像;
Docker 有一个专门的团队,负责审查和发布官方镜像中的所有内容。 该团队与上游软件维护人员、安全专家和更广泛的 Docker 社区进行合作来确保这些镜像的安全性。
使用 Docker 认证的容器
Docker Enterprise 容器平台使您可以确保镜像的完整性。安全性不是静态的一次性活动,而是贯穿应用程序管道的不同阶段跟踪应用程序的连续流程。为了防止系统受到破坏,Docker Enterprise 在整个供应链中提供集成的安全性保障。遵循安全最佳实践并运行基于 Docker 认证镜像可信代码的 Docker Enterprise 用户可以确保他们的软件镜像:
- 经过验证的发布者已经过 Docker Enterprise 容器平台的测试和支持;
- 遵循 Docker 容器最佳实践来构建 dockerfiles 和 images;
- 通过功能 API 测试套件;
- 完成漏洞扫描评估;
Docker 认证为用户和企业提供了一种可靠的方式,可以在 Docker 和发布者的支持下在容器中运行更多技术。客户可以使用可见的标志快速识别经过认证的内容,并确信它们是使用最佳实践构建的,同时它们也是经过测试可在 Docker Enterprise 上顺利运行的。
利用 Docker Enterprise 特性提供额外的保护
Docker Enterprise 通过内容验证和运行时应用程序安全性在整个软件供应链中提供额外的保护层。这包括基于角色的访问控制(RBAC)和用于跨多个团队的灵活和细粒度的访问权限来确定组织中谁可以运行容器。管理员还可以通过设置策略来限制任何用户在群集上运行特权容器的能力。
此外,Docker Content Trust 支持加密数字签名来确认容器镜像的出处和真实性,实际上为您的运营团队提供有关应用程序作者的详细信息,并确认其未以任何方式被篡改或修改。通过在运行时实施策略,Docker Enterprise 可确保只有受信任的团队签署的容器镜像才能在集群中运行。
扩 展
- 浏览 https://docs.docker.com/ee/upgrade/ 了解了解如何升级 Docker Engine – Enterprise;
- 浏览 https://docs.docker.com/install/ 了解了解如何升级 Docker Engine – Community;
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
【翻译】Prometheus 2.7.0 新特性
Prometheus 2.7.0 现在(2019.01.28)已经发布,在上个月的 2.6.0 之后又进行了一些修正和改进。 首先,在 2.6.0 中对的 Docker 文件更改被还原回 2.5.0 中的设置,因为它产生了意外的影响。如果您已经更新了 2.6.0 更改的设置,那么您可能希望使用 2.7.0 进行恢复。 TSDB 为 blocks 添加了实验性 size-based 的保留,time-based 的保留也适用。我还对某些选择器进行了性能改进,虽然这并不是普罗米修斯的技术性变化,但 tsdbutil 现在有了一个 analyze 子命令,可以帮助确定哪些内容占用了空间并造成了混乱。 PromQL 添加了子查询支持,因此对于特殊查询,您不再需要遵循 PromQL 中的组合范围向量函数。除了其他每个规则组指标外,现在还有一个rule_group_rules_loaded指标。 对于服务发现,Azure现在可以进行托管身份验证,还可以获得租户和订阅ID元数据。OpenStack现在支持应用程序凭据。Consul added service 标记地址元数据 ,Consul gain...
- 下一篇
Node.js 微服务实践:基于容器的一站式命令行工具链
作者:个推Node.js 开发工程师 之诺 背景与摘要 由于工程数量的快速增长,个推在实践基于 Node.js 的微服务开发的过程中,遇到了如下问题: 每次新建项目都需要安装一次依赖,这些依赖之间基本相似却又有微妙的区别; 每次新建项目都要配置一遍相似的配置(比如 tsconfig、lint 规则等); 本地 Mac 环境与线上 Docker 内的 Linux 环境不一致(尤其是有 C++ 依赖的情况)。 为了解决上述问题,个推内部开发了一个命令行小工具来标准化项目初始化流程、简化配置甚至是零配置,提供基于 Docker 的一致构建、运行环境。 CLI: init, build, test & pack 新建一个 Node.js 项目的时候,我们一般会: 安装许多开发依赖:TypeScript、Jest、TSLint、benchmark、typedoc 等; 配置 tsconfig、lint 规则、.prettierrc 等; 安装众多项目依赖:koa、lodash、sequelize、ioredis、zipkin、node-fetch 等; 初始化目录结构; 配置CI 脚本。...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装Docker,最新的服务器搭配容器使用
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Hadoop3单机部署,实现最简伪集群
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS6,7,8上安装Nginx,支持https2.0的开启