ใน blog ของ Docker
เรื่อง 10 tips for keeping your Docker containers safe from Log4Shell
ได้สรุป 10 ข้อ สำหรับการป้องกันปัญหา Log4Shell
ที่อาจจะเกิดขึ้นได้ใน Docker container
โดยมี Cheat Sheet :: Docker + Snyk log4shell remediation ออกมาให้
จึงทำการสรุปสั้น ๆ ไว้หน่อย
- อย่าลืม scan image ด้วย $docker scan
- ใช้ official image และ image ที่แก้ไขล่าสุดด้วยเสมอ
- Update version ของ JDK ไม่เพียงพอ ต้องไป config com.sun.jndi.ldap.object.trustURLCodebase=false ด้วย
- ตรวจสอบผลการ scan image ในDocker Hub ด้วยว่า รอดไหม
- ใช้งาน Docker desktop 4.3.1 ขึ้นไป
- ห้าม run container ด้วย user root เด็ดขาด
- ให้ใช้งาน root filesystem แบบ read only เท่านั้น
- ทำการ upgrade log4j เป็น version ล่าสุด
- ห้าม run container ใน privileged mode
- อะไรที่ไม่ได้ใช้งาน ก็ไม่ต้องมีใน container เช่น curl, wget เป็นต้น
