От версии 39.1
отредактировано Роман Воробьев
на 08.08.2021 03:08
на 08.08.2021 03:08
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (2 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Автор документа
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. rvorobyev1 +XWiki.omaltsev - Содержимое
-
... ... @@ -1,18 +1,50 @@ 1 - Главнойособенностью Docker в ОСноваявляется то, что контейнер работаетврежимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутойпрограммной среды (ЗПС)>>]] (если включен).1 += Установка = 2 2 3 -Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа 4 -{{code language="bash"}}$ setfattr --restore=<dumpfile>{{/code}} 5 -либо через подпись 6 -{{code language="bash"}}$ evmctl{{/code}} 7 -экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) 8 -{{code language="bash"}}$ tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX{{/code}} 9 -и импортом. 3 +{{code language="bash"}}$ sudo apt install docker.io{{/code}} 4 +Добавить пользователя в группу docker, перелогиниться. 5 +{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}} 10 10 7 += Работа в условиях ЗПС и MPROTECT = 8 + 9 +Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]] состоят в следующем: 10 + 11 +Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа: 12 +{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}} 13 +либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом. 14 +Например, рассмотрим Alpine (выполнять при отключенной ЗПС): 15 +{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash 16 +{{code language="bash"}} 17 +В отдельной консоли: 18 +{{/code}} 19 +$ mkdir /tmp/alpine 20 +$ cd /tmp/alpine 21 +$ docker export - alpine | tar - -x 22 +$ for f in `find . -type f` 23 +do 24 +sudo evmctl -k <закрытый ключ> ima_sign $f 25 +done 26 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \ 27 + --xattrs-include=security.NESSCTX \ 28 + -C /tmp/alpine -c . | docker import - alpine-signed{{/code}} 29 + 30 + 11 11 Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере. 12 12 Возможна установка в контейнер **paxrat** или ручная разметка исключений через 13 -{{code language="bash"}} $sudo setfattr -n user.pax.flags -v m <filename>{{/code}}33 +{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}} 14 14 или через наложение дампа 15 -{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}} 35 +{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}} 36 + 37 +или ипользование (если в ОС образа отсутствует paxrat) 38 + 39 +{{code language="none"}} 40 +paxctl 41 +{{/code}} 42 + 43 +{{code language="none"}} 44 +chpax 45 +{{/code}} 46 + 47 + 16 16 или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. 17 17 18 18 Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой. ... ... @@ -20,35 +20,27 @@ 20 20 Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]** дописать: 21 21 {{code language="bash"}}NESSCTX=t=30,50{{/code}} 22 22 И перечитать конфигурацию, перезапустить Docker. 23 -{{code language="bash"}}sudo systemctl daemon-reload 24 -sudo systemctl restart docker{{/code}} 55 +{{code language="bash"}}$ sudo systemctl daemon-reload 56 +$ sudo systemctl restart docker{{/code}} 25 25 26 -= Установка = 27 27 28 -{{code language="bash"}}sudo apt install docker.io{{/code}} 29 -Добавить пользователя в группу docker, перелогиниться. 30 -{{code language="bash"}}sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}} 31 31 32 32 = Создание образа ОСнова = 33 33 34 -Для создания образа требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию. 62 +Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). 35 35 36 36 {{code language="bash"}} 37 -sudo apt install debootstrap 38 - 39 -sudo mount /dev/cdrom /mnt 40 - 41 -(или sudo mount -o loop onyx-Version-disk1.iso /mnt ) 42 - 43 -sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt 44 - 45 -sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx 46 - 47 -sudo umount /mnt 65 +$ sudo apt install debootstrap 66 +$ sudo mount /dev/cdrom /mnt 67 +(или $ sudo mount -o loop onyx-Version-disk1.iso /mnt) 68 +$ mkdir /tmp/image 69 +$ cd /tmp/image 70 +$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt 71 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx 72 +$ sudo umount /mnt 48 48 {{/code}} 49 49 50 50 = Тестовый запуск контейнера = 51 - 52 -{{code language="none"}} 53 -docker run -it --rm onyx bash 76 +{{code language="bash"}} 77 +$ docker run -it --rm onyx bash 54 54 {{/code}}