修复漏洞(一)离线升级Docker版本

前言

  • 一般人最好用的修复漏洞的方式就是更新版本
  • 起因是使用的Docker版本被检测出来有一堆漏洞(例如:Docker 操作系统命令注入漏洞(CVE-2019-5736))
  • 更新环境无法联网,只能通过下载二进制文件的形式进行安装

步骤

  • 可先通过which docker查看Docker可执行文件的地址
  • 然后查看自己docker的版本:docker versino
  • 停止并卸载原有Docker:
shell 复制代码
systemctl stop docker  # 停止Docker服务
yum remove docker docker-common docker-selinux docker-engine   # 卸载Docker(适用于CentOS)
  • 下载二进制文件:https://download.docker.com/linux/static/stable/x86_64/
    • 注意选择一个和原本Docker兼容的版本,具体啥兼容我也不知道,反正不要一次性版本更新太多,我第一次从19升级到24,然后后面死活构建不了镜像,最后选择了个20的最新版本,才成功构建镜像
  • 解压缩:tar xf docker-xxxxx.tgz
  • 复制文件:cp docker/* /usr/bin/
    • 后面这个地址指的是docker可执行文件的地址,默认是/usr/bin/目录下
    • 若提示覆盖,则选择覆盖即可
  • 设置开机自启:vi /etc/systemd/system/docker.service,内容如下
shell 复制代码
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service
Wants=network-online.target

[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues still
# exists and systemd currently does not support the cgroup feature set required
# for containers run by docker
ExecStart=/usr/bin/dockerd
ExecReload=/bin/kill -s HUP $MAINPID
# Having non-zero Limit*s causes performance problems due to accounting overhead
# in the kernel. We recommend using cgroups to do container-local accounting.
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
# Uncomment TasksMax if your systemd version supports it.
# Only systemd 226 and above support this version.
#TasksMax=infinity
TimeoutStartSec=0
# set delegate yes so that systemd does not reset the cgroups of docker containers
Delegate=yes
# kill only the docker process, not all processes in the cgroup
KillMode=process
# restart the docker process if it exits prematurely
Restart=on-failure
StartLimitBurst=3
StartLimitInterval=60s

[Install]
WantedBy=multi-user.target
  • 给执行权限
shell 复制代码
# 给执行权限
chmod +x /etc/systemd/system/docker.service
# 重新加载配置
systemctl daemon-reload
# 设置开机启动
systemctl enable docker.service
# 进行启动
systemctl start docker
  • 如果此时有报错,看看containered组件是否启动
shell 复制代码
# 查看containerd状态
systemctl status containerd
# 启动containerd服务
systemctl start containerd
  • 最后如果所有容器启动成功,通过Docker -version查看版本

提醒

  • 中间遇到了很多奇奇怪怪的Bug,就一点,先百度,百度解决不了就重启,注意不要随便用rm命令删除数据文件
  • 比如Docker启动不了,直接重启虚拟机
  • 如果容器启动不了,报啥端口占用啥的,直接重启Docker

参考

相关推荐
呆萌的代Ma5 小时前
解决Mac上的老版本docker desktop 无法启动/启动后一直转圈/无法登陆账号的问题
macos·docker·eureka
feilieren5 小时前
Docker 安装 Elasticsearch 9
运维·elasticsearch·docker·es
KaiwuDB6 小时前
使用Docker实现KWDB数据库的快速部署与配置
数据库·docker
cleble7 小时前
(转)使用DockerCompose部署微服务
docker
朱杰jjj9 小时前
Docker容器中无法使用vim、vi命令处理
docker·容器·vim
东林牧之9 小时前
CICD[软件安装]:docker安装gitlab
docker·容器·gitlab
东林牧之9 小时前
CICD[导航]、docker+gitlab+harbor+jenkins从安装到部署
docker·gitlab·jenkins
cui_hao_nan18 小时前
Docker后端部署
运维·docker·容器
大苏打seven19 小时前
Docker学习笔记:Docker网络
笔记·学习·docker
小张是铁粉20 小时前
docker在Linux的安装遇到的问题
linux·docker·容器