От версии 2.1
отредактировано Роман Воробьев
на 31.07.2021 17:07
на 31.07.2021 17:07
Изменить комментарий:
К данной версии нет комментариев
К версии 46.1
отредактировано Роман Воробьев
на 08.08.2021 03:08
на 08.08.2021 03:08
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (3 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Родительский документ
-
... ... @@ -1,1 +1,1 @@ 1 - ОСнова.Состав и ПО.WebHome1 +Sandbox.WebHome - Теги
-
... ... @@ -1,0 +1,1 @@ 1 +docker|pax|mprotect|ЗПС|paxrat - Содержимое
-
... ... @@ -1,10 +1,70 @@ 1 -Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен о) и [[замкнутой программной среды (ЗПС)>>]] (если включено).1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен). 2 2 3 +Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа 4 +{{code language="bash"}}setfattr --restore=<dumpfile>{{/code}} 3 3 4 -Если защита памяти PaX MPROTECT не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename>. 6 +либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) 7 + 5 5 9 +{{code language="none"}} 10 +sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - <имя подписанного образа> 6 6 7 -Если контейнер не ОСнова, для работы в режиме ЗПС, его содержимое должно быть подписано. 8 8 13 +docker export - <имя контейнера> | tar - -xf 14 +{{/code}} 9 9 10 -Контейнер может иметь определенный установленный контекст безопасности NESS. По умолчанию контекст пустой. 16 +{{code language="bash"}} 17 +for f in `find . -type f` 18 +do 19 +sudo evmctl -k <закрытый ключ> ima_sign $f 20 +done 21 +{{/code}} 22 + 23 + 24 +{{code language="none"}}sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - <имя подписанного образа>{{/code}} 25 +и импортом. 26 + 27 +Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере. 28 +Возможна установка в контейнер **paxrat** или ручная разметка исключений через 29 +{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}} 30 +или через наложение дампа 31 +{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}} 32 +или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. 33 + 34 +Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой. 35 +Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. 36 +Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]** дописать: 37 +{{code language="bash"}}NESSCTX=t=30,50{{/code}} 38 +И перечитать конфигурацию, перезапустить Docker. 39 +{{code language="bash"}}sudo systemctl daemon-reload 40 +sudo systemctl restart docker{{/code}} 41 + 42 += Установка = 43 + 44 +{{code language="bash"}}sudo apt install docker.io{{/code}} 45 +Добавить пользователя в группу docker, перелогиниться. 46 +{{code language="bash"}}sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}} 47 + 48 += Создание образа ОСнова = 49 + 50 +Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). 51 + 52 +{{code language="bash"}} 53 +sudo apt install debootstrap 54 + 55 +sudo mount /dev/cdrom /mnt 56 + 57 +(или sudo mount -o loop onyx-Version-disk1.iso /mnt ) 58 + 59 +sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt 60 + 61 +sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx 62 + 63 +sudo umount /mnt 64 +{{/code}} 65 + 66 += Тестовый запуск контейнера = 67 + 68 +{{code language="none"}} 69 +docker run -it --rm onyx bash 70 +{{/code}}