Dockerfile best practices によると...

Avoid RUN apt-get upgrade and dist-upgrade, as many of the “essential” packages from the parent images cannot upgrade inside an unprivileged container. If a package contained in the parent image is out-of-date, contact its maintainers. If you know there is a particular package, foo, that needs to be updated, use apt-get install -y foo to update automatically.

docs.docker.com

雑な翻訳

親イメージの「必須」パッケージの多くは、権限のないコンテナ内ではアップグレードできないため、apt-get upgrade や dist-upgrade の実行は避けてください。親イメージに含まれるパッケージが古い場合は、そのメンテナに連絡してください。更新が必要なパッケージ foo があることがわかっている場合は、apt-get install -y foo を使って自動的に更新してください。

親イメージが必須とするパッケージ、foo を更新したい場合、自前で apt-get upgrade せずに、メンテナに連絡した上で apt-get install foo で個別にインストールすべきとのこと

ついでに apt-get upgrade と apt-get update の違い

• apt-get update: パッケージリストの更新
• apt-get upgrade: インストール済みのパッケージ更新

概要

Linux系のパッケージのバージョン番号が古くても、セキュリティフィックスは入っている場合がある

例えば

Debianのbuster(バージョン10)に入っている apache2 は 2.4.38

• https://packages.debian.org/ja/buster/httpd/apache2

本家の apache2 は 2.4.43 で、リリースノートを見ると、色々なセキュリティフィックスが入っている

• https://downloads.apache.org/httpd/CHANGES_2.4.43

debianのbusterのapache2は 2.4.38 だから、脆弱性が残っているの?

実はそんなことはなくて、2.4.38 にセキュリティフィックスを入れている

なんでそんなことしてるの?

Debianは安定性を重視しているため

勝手にパッケージのバージョンを上げて互換性を損なわないようにしている

そのため、互換性を維持しながら、現状のバージョンのセキュリティフィックスを入れている(これをバックポートと言う)

参考: 質問: なぜ旧バージョンのパッケージを変更しているのですか?

セキュリティフィックスが入ったかどうかは、どこで確認したら良いの?

security-tracker というBTSのようなもので管理されている

以下のように、https://security-tracker.debian.org/tracker/${CVE-番号} で状況が確認できる

• https://security-tracker.debian.org/tracker/CVE-2019-0217

自分の環境のパッケージにセキュリティフィックスが入っているかはどう確認するの?

例えば、上記の CVE-2019-0217 は、 バージョン 2.4.38-3+deb10u3 で修正されたと出ている

deb10u3 は、Debianのbuster(バージョン10)での 3 回目のupdateという意味

dpkg -l コマンドで、パッケージの詳細なバージョンが確認できるので、そこで +deb10u${x} のxが3以上ならば、 CVE-2019-0217 のセキュリティフィックスは適用済と分かる

# dpkg -l apache2
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version          Architecture Description
+++-==============-================-============-=================================
ii  apache2        2.4.38-3+deb10u3 amd64        Apache HTTP Server

自分の環境のバージョンが古い場合どうしたら良いの?

以下のコマンドでパッケージを更新すればOK

apt-get update && apt-get install ${パッケージ名}

参考

Debianで実際にバックポートをしている方の記録

security.sios.com

RHELも同様の仕組みを採用している

access.redhat.com

はじめに

こんなもの見ないで原点にあたるのが良いです

www.nginx.com

Nginxのバージョニング

• stable : 安定版 と mainline : 主流版がある
• 偶数バージョンが stable
• 奇数バージョンが mainline
• 毎年4月に、mainline の最新版から分岐する
• 2020/06 現在は、 stable が 1.18、mainline が 1.19

stable と mainline の違い

• mainline はupdateやbugfix がドンドン入る
• stable は重大な修正のみ

本番で使うべきは stable と mainline どっち?

stable 一択

信頼性は高いですが、いくつかの実験的なモジュールが含まれている可能性があり、いくつかの新しいバグがある可能性もあります

docs.nginx.com

旧バージョンの安定版はサポートされないの?

最新の stable と mainline 以外は、deprecated だそうです

1.12, 13 Release時の記事

以前の安定版ブランチである 1.10 は非推奨となっており、今後はアップデートやサポートを行う予定はありません

www.nginx.com

事前準備

仮想マシンクライアントのVirtualBoxをダウンロードする

www.virtualbox.org

• 無料です

MS公式の動作確認用のwindows仮想マシンイメージをダウンロードする

https://developer.microsoft.com/en-us/microsoft-edge/tools%E3%81%A1/vms/

• 無料です
• 使用期限は90日
• ログインパスワードは Passw0rd!

VirtualBoxのGuest Additionsをインストール

仮想マシンと本体とのやりとりを便利にする、色々な機能をインストールする

• 仮想マシンの電源をOFFにする
• VirtualBoxの Machine -> Settings... -> Storage で新しくDVDデバイスを追加
• 仮想マシンを起動した後、devices -> Insert Guest Additions CD を選択
• 表示される手順に沿ってインストール & 再起動

日本語化 & macのキーボードを使えるようにする

こちらの (5) を参照

qiita.com

共有ディレクトリ

• VirtualBoxの Machine -> Settings... -> Shard folder から追加
• ゲストマシン側からは、ネットワークドライブとして見えるようになる

画面サイズをvirtualboxのウインドウサイズに追従させる

View -> Auto Resize Guest Display を選択

ソフトウェアアップデートで勝手に再起動しないようにする

• 仮想マシン内のwindowsの設定から、「更新とセキュリティ」を選択
• 「アクティブ時間の変更」から、作業時間を選択すると、その時間以外に再起動するようになる

スナップショットを取る

ここまでやったらスナップショットを取って、90日経ったらこのスナップショットからまた起動するようにしておけば楽