1.镜像中病毒或木马应如何处理?
1)如果是已经有运行实例的镜像,建议对容器实例进行下线;
2)清除病毒木马,重新构建镜像,重新部署容器,恢复业务;
3)调查中病毒的原因,是基础镜像污染、还是业务软件部分污染。明确病毒木马通过什么样途径进入到镜像中,修复管理漏洞。
对于服务器端软件,发生病毒木马事件的概率相对较低,有统计分析dockerhub中存在后门的镜像占比0.16%,但虽然是存在的,需要注意,尤其是挖矿类木马和webshell。
2.镜像中有敏感路径挂载时应如何处理?
不挂载。大部分对敏感路径的挂载是不合理的配置导致,移除掉对应挂载即可。
3.镜像中敏感文件的访问权限如何做到权限隔离,如需要整改时如何平滑升级?
镜像中不要保留敏感文件。
通常而言,敏感文件是指用户口令、token之类。此类配置信息可以通过配置中心来进行设定,例如k8s提供的secret机制,或者Java软件可以使用Apollo这类配置中心进行维护。但镜像内不应该存在敏感信息。