От версии 27.1
отредактировано Роман Воробьев
на 02.08.2021 02:08
на 02.08.2021 02:08
Изменить комментарий:
К данной версии нет комментариев
К версии 2.2
отредактировано Роман Воробьев
на 31.07.2021 17:07
на 31.07.2021 17:07
Изменить комментарий:
Добавлен тег [Docker]
Сводка
-
Свойства страницы (2 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Теги
-
... ... @@ -1,1 +1,1 @@ 1 -Docker |pax|mprotect|ЗПС|paxrat1 +Docker - Содержимое
-
... ... @@ -1,102 +1,10 @@ 1 -Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен). 1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключено) и [[замкнутой программной среды (ЗПС)>>]] (если включено). 2 2 3 3 4 -Если контейнер не ОСнова, дляработыврежиме**замкнутойпрограммной среды(ЗПС)**,егосодержимое должнобыть подписано.Этовозможносделатьчерезналожениедампа4 +Если защита памяти PaX MPROTECT не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename>. 5 5 6 -{{code language="none"}} 7 -setfattr --restore=<dumpfile> 8 -{{/code}} 9 9 10 -либо черезподпись7 +Если контейнер не ОСнова, для работы в режиме ЗПС, его содержимое должно быть подписано. 11 11 12 -{{code language="none"}} 13 -evmctl 14 -{{/code}} 15 15 16 -экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов, 17 - 18 - 19 -{{code language="none"}} 20 -tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX 21 - 22 - 23 -{{/code}} 24 - 25 - 26 -)и импортом. 27 - 28 - 29 -Если защита памяти **PaX MPROTECT** не отключена [[(глобальное отключение через mprotect=off в командной строке ядра или в конфиге grub, работает для всех ядер кроме hardened)>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. 30 - 31 -Возможна установка в контейнер **paxrat** 32 - 33 -или ручная разметка исключений через 34 - 35 - 36 -{{code language="none"}} 37 -setfattr -n user.pax.flags -v m <filename> 38 - 39 -{{/code}} 40 - 41 -или через наложение дампа 42 - 43 -{{code language="none"}} 44 -setfattr --restore=<dump> 45 -{{/code}} 46 - 47 -или через 48 - 49 -{{code language="none"}} 50 -chpax, paxctl 51 -{{/code}} 52 - 53 -или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **Pax MPROTECT**. 54 - 55 - 56 - 57 -Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой. 58 - 59 -Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. 60 - 61 -Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]** дописать: 62 - 63 - 64 -{{code language="none"}} 65 -NESSCTX=t=30,50 66 -{{/code}} 67 - 68 -И перезагрузить Docker. 69 - 70 -{{code language="none"}} 71 -sudo systemctl daemon-reload 72 -sudo systemctl restart docker 73 -{{/code}} 74 - 75 -= Установка = 76 - 77 -= = 78 - 79 -{{code language="none"}} 80 -sudo apt install docker.io 81 -{{/code}} 82 - 83 -Добавить пользователя в группу docker, перелогиниться. 84 - 85 -{{code language="none"}} 86 -sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ 87 -{{/code}} 88 - 89 -= Создание образа ОСнова = 90 - 91 -{{code language="none"}} 92 -sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx http://ftp.ct/OSNova/testing/onyx/mounted-iso-main-disk1 93 - 94 -sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx 95 -{{/code}} 96 - 97 -= Тестовый запуск контейнера = 98 - 99 - 100 -{{code language="none"}} 101 -docker run -it onyx bash 102 -{{/code}} 10 +Контейнер может иметь определенный установленный контекст безопасности NESS. По умолчанию контекст пустой.