Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 38.1
отредактировано Роман Воробьев
на 08.08.2021 03:08
Изменить комментарий: К данной версии нет комментариев
К версии 50.1
отредактировано Роман Воробьев
на 08.08.2021 04:08
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Содержимое
... ... @@ -1,18 +1,43 @@
1 1  Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
2 2  
3 3  Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа
4 -{{code language="bash"}}$ setfattr --restore=<dumpfile>{{/code}}
5 -либо через подпись
6 -{{code language="bash"}}$ evmctl{{/code}}
7 -экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов)
8 -{{code language="bash"}}$ tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX{{/code}}
9 -и импортом.
4 +{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
10 10  
6 +либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
7 +
8 +Например, рассмотрим Alpine:
9 +
10 +
11 +{{code language="none"}}
12 +$ docker run -it --rm --name alpine alpine ash
13 +
14 +
15 +(в другой консоли)
16 +$ mkdir /tmp/alpine
17 +$ cd /tmp/alpine
18 +$ docker export - alpine | tar - -x
19 +
20 +{{/code}}
21 +
22 +{{code language="bash"}}
23 +$ for f in `find . -type f`
24 +do
25 +sudo evmctl -k <закрытый ключ> ima_sign $f
26 +done
27 +{{/code}}
28 +
29 +
30 +{{code language="none"}}$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
31 + --xattrs-include=security.NESSCTX \
32 + -C onyx/ -c . | docker import - alpine-signed{{/code}}
33 +
34 +
35 +
11 11  Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
12 12  Возможна установка в контейнер **paxrat** или ручная разметка исключений через
13 -{{code language="bash"}}$ sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
38 +{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
14 14  или через наложение дампа
15 -{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}}
40 +{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
16 16  или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
17 17  
18 18  Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
... ... @@ -20,33 +20,35 @@
20 20  Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
21 21  {{code language="bash"}}NESSCTX=t=30,50{{/code}}
22 22  И перечитать конфигурацию, перезапустить Docker.
23 -{{code language="bash"}}sudo systemctl daemon-reload
24 -sudo systemctl restart docker{{/code}}
48 +{{code language="bash"}}$ sudo systemctl daemon-reload
49 +$ sudo systemctl restart docker{{/code}}
25 25  
26 26  = Установка =
27 27  
28 -{{code language="bash"}}sudo apt install docker.io{{/code}}
53 +{{code language="bash"}}$ sudo apt install docker.io{{/code}}
29 29  Добавить пользователя в группу docker, перелогиниться.
30 -{{code language="bash"}}sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
55 +{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
31 31  
32 32  = Создание образа ОСнова =
33 33  
34 -Для создания образа требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию.
59 +Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
35 35  
36 36  {{code language="bash"}}
37 -sudo apt install debootstrap
62 +$ sudo apt install debootstrap
38 38  
39 -sudo mount /dev/cdrom /mnt
64 +$ sudo mount /dev/cdrom /mnt
40 40  
41 41  (или sudo mount -o loop onyx-Version-disk1.iso /mnt )
42 42  
43 -sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
68 +$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
44 44  
45 -sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
70 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
71 +
72 +$ sudo umount /mnt
46 46  {{/code}}
47 47  
48 48  = Тестовый запуск контейнера =
49 49  
50 50  {{code language="none"}}
51 -docker run -it --rm onyx bash
78 +$ docker run -it --rm onyx bash
52 52  {{/code}}