Изменения документа Docker

Сводка

• Свойства страницы (3 изменено, 0 добавлено, 0 удалено)

Подробности

Свойства страницы

Автор документа

...	...	@@ -1,1 +1,1 @@
1		-XWiki.bgetman
	1	+XWiki.omaltsev

Теги

...	...	@@ -1,1 +1,1 @@
1		-Docker|pax|mprotect|ЗПС|paxrat
	1	+docker|pax|mprotect|ЗПС|paxrat

Содержимое

...	...	@@ -1,18 +1,50 @@
1		-Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
	1	+= Установка =
2	2
3		-Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа
4		-{{code language="bash"}}$ setfattr --restore=<dumpfile>{{/code}}
5		-либо через подпись
6		-{{code language="bash"}}$ evmctl{{/code}}
7		-экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов)
8		-{{code language="bash"}}$ tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX{{/code}}
9		-и импортом.
	3	+{{code language="bash"}}$ sudo apt install docker.io{{/code}}
	4	+Добавить пользователя в группу docker, перелогиниться.
	5	+{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
10	10
	7	+= Работа в условиях ЗПС и MPROTECT =
	8	+
	9	+Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]] состоят в следующем:
	10	+
	11	+Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
	12	+{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
	13	+либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
	14	+Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
	15	+{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash
	16	+{{code language="bash"}}
	17	+В отдельной консоли:
	18	+{{/code}}
	19	+$ mkdir /tmp/alpine
	20	+$ cd /tmp/alpine
	21	+$ docker export - alpine | tar - -x
	22	+$ for f in `find . -type f`
	23	+do
	24	+sudo evmctl -k <закрытый ключ> ima_sign $f
	25	+done
	26	+$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
	27	+ --xattrs-include=security.NESSCTX \
	28	+ -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
	29	+
	30	+
11	11	Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
12	12	Возможна установка в контейнер **paxrat** или ручная разметка исключений через
13		-{{code language="bash"}}$ sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
	33	+{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
14	14	или через наложение дампа
15		-{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}}
	35	+{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
	36	+
	37	+или ипользование (если в ОС образа отсутствует paxrat)
	38	+
	39	+{{code language="none"}}
	40	+paxctl
	41	+{{/code}}
	42	+
	43	+{{code language="none"}}
	44	+chpax
	45	+{{/code}}
	46	+
	47	+
16	16	или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
17	17
18	18	Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
...	...	@@ -20,21 +20,27 @@
20	20	Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
21	21	{{code language="bash"}}NESSCTX=t=30,50{{/code}}
22	22	И перечитать конфигурацию, перезапустить Docker.
23		-{{code language="bash"}}sudo systemctl daemon-reload
24		-sudo systemctl restart docker{{/code}}
	55	+{{code language="bash"}}$ sudo systemctl daemon-reload
	56	+$ sudo systemctl restart docker{{/code}}
25	25
26		-= Установка =
27		-{{code language="bash"}}$ sudo apt install docker.io{{/code}}
28		-Добавить пользователя в группу docker, перелогиниться.
29		-{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
30	30
	59	+
31	31	= Создание образа ОСнова =
	61	+
	62	+Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
	63	+
32	32	{{code language="bash"}}
33		-$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx https://dl.nppct.ru/!!!!!!!!!/onyx/mounted-iso-main-disk1
	65	+$ sudo apt install debootstrap
	66	+$ sudo mount /dev/cdrom /mnt
	67	+(или $ sudo mount -o loop onyx-Version-disk1.iso /mnt)
	68	+$ mkdir /tmp/image
	69	+$ cd /tmp/image
	70	+$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
34	34	$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
	72	+$ sudo umount /mnt
35	35	{{/code}}
36	36
37	37	= Тестовый запуск контейнера =
38		-{{code language="none"}}
39		-$ docker run -it onyx bash
	76	+{{code language="bash"}}
	77	+$ docker run -it --rm onyx bash
40	40	{{/code}}