从Docker基础映像中排除文件/文件夹

Question

我们正在使用Twistlock来寻找docker图像中的安全漏洞。

不幸的是，我们在docker基础镜像中发现了一些安全问题(例如: Alpine、Logstash、自定义构建的Docker镜像)。作为修复，我们将继续升级到可用的最新版本。不幸的是，对于自定义构建的Docker镜像，除了使用它之外，我们没有任何控制。

我只是想知道是否有一种方法可以排除docker基础映像中的文件/文件夹，如下所示

FROM XXX:/logstash.7.6.0
***Add Exclusions for files/folders inside logstash***
VOLUME /tmp
ENV XXX
USER logstash

我遇到过dockerignore file的用法，但我相信它们是用来忽略当前项目中的文件/文件夹，而不是基础docker镜像中的文件/文件夹。

有人可以在这里分享一些输入吗？

Answer 1

实际上，您可以通过添加以下内容来删除所需的大部分内容:RUN rm -rf path or RUN yum remove -y package_name (此指令用于基于centos的映像)指令之后，将FROM指令添加到docker文件中。

警告！这些删除操作很可能会给您的图像带来严重的问题。

示例：

FROM XXX:/logstash.7.6.0

USER root # change user to root in order to get full permission
RUN rm -rf /fileX /dirY 
RUN yum remove -y packageX

VOLUME /tmp
ENV XXX
USER logstash

还要检查这个page。它包括一些安全建议。