От версии 1.1
отредактировано Роман Воробьев
на 31.07.2021 17:07
на 31.07.2021 17:07
Изменить комментарий:
К данной версии нет комментариев
К версии 3.1
отредактировано Роман Воробьев
на 31.07.2021 18:07
на 31.07.2021 18:07
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (2 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Теги
-
... ... @@ -1,0 +1,1 @@ 1 +Docker|pax|mprotect|ЗПС - Содержимое
-
... ... @@ -1,7 +1,7 @@ 1 -Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX>>]] (ели не отключено) и [[замкнутой программной среды (ЗПС)>>]] (если включено). 1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключено) и [[замкнутой программной среды (ЗПС)>>]] (если включено). 2 2 3 3 4 -Если защита памяти PaX не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename>. 4 +Если защита памяти PaX MPROTECT не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename>. 5 5 6 6 7 7 Если контейнер не ОСнова, для работы в режиме ЗПС, его содержимое должно быть подписано. ... ... @@ -8,3 +8,11 @@ 8 8 9 9 10 10 Контейнер может иметь определенный установленный контекст безопасности NESS. По умолчанию контекст пустой. 11 + 12 +Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти PaX MPROTECT. 13 + 14 +Для этого в файле ** /lib/systemd/system/docker.service** в секции **[Service]** дописать: 15 + 16 +{{code language="none"}} 17 +NESSCTX=t=30,50 18 +{{/code}}