Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 34.2
отредактировано bgetman
на 02.08.2021 15:08
Изменить комментарий: Update document after refactoring.
К версии 35.1
отредактировано bgetman
на 02.08.2021 15:08
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Содержимое
... ... @@ -1,54 +1,34 @@
1 1  Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
2 2  
3 3  Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа
4 -{{code language="bash"}}
5 -$ setfattr --restore=<dumpfile>
6 -{{/code}}
4 +{{code language="bash"}}$ setfattr --restore=<dumpfile>{{/code}}
7 7  либо через подпись
8 -{{code language="bash"}}
9 -$ evmctl
10 -{{/code}}
6 +{{code language="bash"}}$ evmctl{{/code}}
11 11  экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов)
12 -{{code language="bash"}}
13 -$ tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX
14 -{{/code}}
8 +{{code language="bash"}}$ tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX{{/code}}
15 15  и импортом.
16 16  
17 17  Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
18 18  Возможна установка в контейнер **paxrat** или ручная разметка исключений через
19 -{{code language="bash"}}
20 -$ sudo setfattr -n user.pax.flags -v m <filename>
21 -{{/code}}
13 +{{code language="bash"}}$ sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
22 22  или через наложение дампа
23 -{{code language="bash"}}
24 -$ sudo setfattr --restore=<dump>
25 -{{/code}}
15 +{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}}
26 26  или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
27 27  
28 28  Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
29 29  Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**.
30 30  Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
31 -{{code language="bash"}}
32 -NESSCTX=t=30,50
33 -{{/code}}
21 +{{code language="bash"}}NESSCTX=t=30,50{{/code}}
34 34  И перечитать конфигурацию, перезапустить Docker.
35 -{{code language="bash"}}
36 -sudo systemctl daemon-reload
37 -sudo systemctl restart docker
38 -{{/code}}
23 +{{code language="bash"}}sudo systemctl daemon-reload
24 +sudo systemctl restart docker{{/code}}
39 39  
40 40  = Установка =
41 -
42 -{{code language="bash"}}
43 -$ sudo apt install docker.io
44 -{{/code}}
27 +{{code language="bash"}}$ sudo apt install docker.io{{/code}}
45 45  Добавить пользователя в группу docker, перелогиниться.
46 -{{code language="bash"}}
47 -$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ
48 -{{/code}}
29 +{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
49 49  
50 50  = Создание образа ОСнова =
51 -
52 52  {{code language="bash"}}
53 53  $ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx https://dl.nppct.ru/!!!!!!!!!/onyx/mounted-iso-main-disk1
54 54  $ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
... ... @@ -55,8 +55,6 @@
55 55  {{/code}}
56 56  
57 57  = Тестовый запуск контейнера =
58 -
59 -
60 60  {{code language="none"}}
61 -docker run -it onyx bash
39 +$ docker run -it onyx bash
62 62  {{/code}}