От версии 3.1
отредактировано Роман Воробьев
на 31.07.2021 18:07
на 31.07.2021 18:07
Изменить комментарий:
К данной версии нет комментариев
К версии 1.1
отредактировано Роман Воробьев
на 31.07.2021 17:07
на 31.07.2021 17:07
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (2 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Теги
-
... ... @@ -1,1 +1,0 @@ 1 -Docker|pax|mprotect|ЗПС - Содержимое
-
... ... @@ -1,7 +1,7 @@ 1 -Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключено) и [[замкнутой программной среды (ЗПС)>>]] (если включено).1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX>>]] (ели не отключено) и [[замкнутой программной среды (ЗПС)>>]] (если включено). 2 2 3 3 4 -Если защита памяти PaX MPROTECTне отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename>.4 +Если защита памяти PaX не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename>. 5 5 6 6 7 7 Если контейнер не ОСнова, для работы в режиме ЗПС, его содержимое должно быть подписано. ... ... @@ -8,11 +8,3 @@ 8 8 9 9 10 10 Контейнер может иметь определенный установленный контекст безопасности NESS. По умолчанию контекст пустой. 11 - 12 -Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти PaX MPROTECT. 13 - 14 -Для этого в файле ** /lib/systemd/system/docker.service** в секции **[Service]** дописать: 15 - 16 -{{code language="none"}} 17 -NESSCTX=t=30,50 18 -{{/code}}