修复漏洞(一)离线升级Docker版本

前言

  • 一般人最好用的修复漏洞的方式就是更新版本
  • 起因是使用的Docker版本被检测出来有一堆漏洞(例如:Docker 操作系统命令注入漏洞(CVE-2019-5736))
  • 更新环境无法联网,只能通过下载二进制文件的形式进行安装

步骤

  • 可先通过which docker查看Docker可执行文件的地址
  • 然后查看自己docker的版本:docker versino
  • 停止并卸载原有Docker:
shell 复制代码
systemctl stop docker  # 停止Docker服务
yum remove docker docker-common docker-selinux docker-engine   # 卸载Docker(适用于CentOS)
  • 下载二进制文件:https://download.docker.com/linux/static/stable/x86_64/
    • 注意选择一个和原本Docker兼容的版本,具体啥兼容我也不知道,反正不要一次性版本更新太多,我第一次从19升级到24,然后后面死活构建不了镜像,最后选择了个20的最新版本,才成功构建镜像
  • 解压缩:tar xf docker-xxxxx.tgz
  • 复制文件:cp docker/* /usr/bin/
    • 后面这个地址指的是docker可执行文件的地址,默认是/usr/bin/目录下
    • 若提示覆盖,则选择覆盖即可
  • 设置开机自启:vi /etc/systemd/system/docker.service,内容如下
shell 复制代码
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service
Wants=network-online.target

[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues still
# exists and systemd currently does not support the cgroup feature set required
# for containers run by docker
ExecStart=/usr/bin/dockerd
ExecReload=/bin/kill -s HUP $MAINPID
# Having non-zero Limit*s causes performance problems due to accounting overhead
# in the kernel. We recommend using cgroups to do container-local accounting.
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
# Uncomment TasksMax if your systemd version supports it.
# Only systemd 226 and above support this version.
#TasksMax=infinity
TimeoutStartSec=0
# set delegate yes so that systemd does not reset the cgroups of docker containers
Delegate=yes
# kill only the docker process, not all processes in the cgroup
KillMode=process
# restart the docker process if it exits prematurely
Restart=on-failure
StartLimitBurst=3
StartLimitInterval=60s

[Install]
WantedBy=multi-user.target
  • 给执行权限
shell 复制代码
# 给执行权限
chmod +x /etc/systemd/system/docker.service
# 重新加载配置
systemctl daemon-reload
# 设置开机启动
systemctl enable docker.service
# 进行启动
systemctl start docker
  • 如果此时有报错,看看containered组件是否启动
shell 复制代码
# 查看containerd状态
systemctl status containerd
# 启动containerd服务
systemctl start containerd
  • 最后如果所有容器启动成功,通过Docker -version查看版本

提醒

  • 中间遇到了很多奇奇怪怪的Bug,就一点,先百度,百度解决不了就重启,注意不要随便用rm命令删除数据文件
  • 比如Docker启动不了,直接重启虚拟机
  • 如果容器启动不了,报啥端口占用啥的,直接重启Docker

参考

相关推荐
慕容晓开15 小时前
docker,本地目录挂载
docker
Mr. Cao code17 小时前
Docker:颠覆传统虚拟化的轻量级革命
linux·运维·ubuntu·docker·容器
Dontla17 小时前
Docker多共享网络配置策略(Docker多网络、Docker networks、Docker Compose网络、Docker网络、Docker共享网络)
网络·docker·容器
Jayin_chan18 小时前
paddlex3.0.1-ocr服务化安装部署(docker)
docker·容器·ocr
ifanatic18 小时前
[每周一更]-(第159期):Go 工程师视角:容器化技术(Docker/Kubernetes)与CI/CD流程的应用场景
docker·golang·kubernetes
感哥20 小时前
Docker镜像
docker
Dontla20 小时前
Dockerfile解析器指令(Parser Directive)指定语法版本,如:# syntax=docker/dockerfile:1
java·docker·eureka
楠神说软件测试1 天前
Docker命令(全)
docker
LuiChun1 天前
docker desktop更新到【4.45.0 】后,旧容器镜像都丢失了
docker·容器·dubbo
子兮曰1 天前
🔥C盘告急!WSL磁盘暴增?三招秒清20GB+空间
前端·windows·docker