如何在不启动容器的情况下检查 Docker 镜像的内容
2023-09-27 14:27:53 时间
Docker 镜像可以将任意二进制文件和库捆绑到单个数据块中。检查图像中的实际内容可帮助您评估其适用性并识别任何安全隐患。
探索图像内容的最简单方法包括启动容器、获取 shell 会话,然后使用常规终端命令(如ls和 )cd从内部查看其目录结构。不过,这在安全关键环境中并不理想——创建具有未知图像的容器可能会使您暴露于恶意入口点脚本。
以下是可用于在不启动容器的情况下检查图像文件的技术。
在不启动的情况下创建容器
docker create是一个鲜为人知的对应物docker run。它在不启动的情况下在给定图像上创建一个新容器。您可以稍后使用该docker start命令启动它。
创建一个新容器并不危险,因为它会在运行之前保持惰性。您可以粗略地将其比作为您不使用的 VM 定义配置设置。即使它设置为从受污染的操作系统 ISO 启动,您也不会对您的环境造成任何损害。
docker create --name suspect-container suspect-image:latest
上面的命令创建了一个新的容器&
相关文章
- Docker圣经:大白话说Docker底层原理,6W字实现Docker自由
- 如何在docker run启动容器时,取消 镜像中默认已经设置好的环境变量?
- 以docker的方式部署mysql数据库的方法
- 干货 | 一文搞定 Docker 容器技术与常用命令
- Docker最全教程——Redis容器化以及排行榜实战(十三)
- Docker 容器互联方法
- 创建尽可能小的 Docker 容器
- Docker镜像的导入导出
- docker启动报错:Job for docker. service failed because the control process exited with error code
- Docker第一讲 Docker容器间/容器与宿主机ping不通解决
- docker如何构建多架构(arm64, x86_64, armv7)容器镜像?
- docker如何将运行中的容器保存为docker镜像?
- 在arm下使用docker build创建容器镜像时磁盘空间不足如何处理?
- 《Docker技术入门与实战》——3.6 存出和载入镜像
- 为Docker容器设置http代理
- 浅析如何使docker容器可以进行ssh连接
- 浅析Docker Volume理解:docker内文件系统是如何工作的、镜像启动容器是如何工作的、为什么要使用Volume、如何使用Volume、匿名卷与实名卷的区别
- Docker(三):镜像导入与导出、保存与加载、在Docker容器中安装软件
- 搭建Harbor企业级docker仓库
- 夏日清风 - 基于Docker Swarm的极简Serverless实践
- [已解决]windows安装docker的问题
- Docker 容器镜像删除
- 同步mysql部分表数据到docker容器中的mysql数据库供其他程序使用,附实际例子源码和镜像
- docker安装/镜像/容器操作