От версии 34.1
отредактировано bgetman
на 02.08.2021 15:08
на 02.08.2021 15:08
Изменить комментарий:
К данной версии нет комментариев
К версии 50.1
отредактировано Роман Воробьев
на 08.08.2021 04:08
на 08.08.2021 04:08
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (4 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Родительский документ
-
... ... @@ -1,1 +1,1 @@ 1 - ОСнова.Состав и ПО.WebHome1 +Sandbox.WebHome - Автор документа
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki.b getman1 +XWiki.rvorobyev - Теги
-
... ... @@ -1,1 +1,1 @@ 1 - Docker|pax|mprotect|ЗПС|paxrat1 +docker|pax|mprotect|ЗПС|paxrat - Содержимое
-
... ... @@ -1,62 +1,79 @@ 1 1 Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен). 2 2 3 3 Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа 4 -{{code language="bash"}} 5 -$ setfattr --restore=<dumpfile> 4 +{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}} 5 + 6 +либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом. 7 + 8 +Например, рассмотрим Alpine: 9 + 10 + 11 +{{code language="none"}} 12 +$ docker run -it --rm --name alpine alpine ash 13 + 14 + 15 +(в другой консоли) 16 +$ mkdir /tmp/alpine 17 +$ cd /tmp/alpine 18 +$ docker export - alpine | tar - -x 19 + 6 6 {{/code}} 7 - либо через подпись21 + 8 8 {{code language="bash"}} 9 -$ evmctl 23 +$ for f in `find . -type f` 24 +do 25 +sudo evmctl -k <закрытый ключ> ima_sign $f 26 +done 10 10 {{/code}} 11 -экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) 12 -{{code language="bash"}} 13 -$ tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX 14 -{{/code}} 15 -и импортом. 16 16 29 + 30 +{{code language="none"}}$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \ 31 + --xattrs-include=security.NESSCTX \ 32 + -C onyx/ -c . | docker import - alpine-signed{{/code}} 33 + 34 + 35 + 17 17 Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере. 18 18 Возможна установка в контейнер **paxrat** или ручная разметка исключений через 19 -{{code language="bash"}} 20 -$ sudo setfattr -n user.pax.flags -v m <filename> 21 -{{/code}} 38 +{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}} 22 22 или через наложение дампа 23 -{{code language="bash"}} 24 -$ sudo setfattr --restore=<dump> 25 -{{/code}} 40 +{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}} 26 26 или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. 27 27 28 28 Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой. 29 29 Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. 30 30 Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]** дописать: 31 -{{code language="bash"}} 32 -NESSCTX=t=30,50 33 -{{/code}} 46 +{{code language="bash"}}NESSCTX=t=30,50{{/code}} 34 34 И перечитать конфигурацию, перезапустить Docker. 35 -{{code language="bash"}} 36 -sudo systemctl daemon-reload 37 -sudo systemctl restart docker 38 -{{/code}} 48 +{{code language="bash"}}$ sudo systemctl daemon-reload 49 +$ sudo systemctl restart docker{{/code}} 39 39 40 40 = Установка = 41 41 42 -{{code language="bash"}} 43 -$ sudo apt install docker.io 44 -{{/code}} 53 +{{code language="bash"}}$ sudo apt install docker.io{{/code}} 45 45 Добавить пользователя в группу docker, перелогиниться. 46 -{{code language="bash"}} 47 -$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ 48 -{{/code}} 55 +{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}} 49 49 50 50 = Создание образа ОСнова = 51 51 59 +Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). 60 + 52 52 {{code language="bash"}} 53 -$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx https://dl.nppct.ru/!!!!!!!!!/onyx/mounted-iso-main-disk1 62 +$ sudo apt install debootstrap 63 + 64 +$ sudo mount /dev/cdrom /mnt 65 + 66 +(или sudo mount -o loop onyx-Version-disk1.iso /mnt ) 67 + 68 +$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt 69 + 54 54 $ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx 71 + 72 +$ sudo umount /mnt 55 55 {{/code}} 56 56 57 57 = Тестовый запуск контейнера = 58 58 59 - 60 60 {{code language="none"}} 61 -docker run -it onyx bash 78 +$ docker run -it --rm onyx bash 62 62 {{/code}}