Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 40.1
отредактировано Роман Воробьев
на 08.08.2021 03:08
Изменить комментарий: К данной версии нет комментариев
К версии 57.1
отредактировано omaltsev
на 01.10.2021 15:10
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Автор документа
... ... @@ -1,1 +1,1 @@
1 -XWiki.rvorobyev
1 +XWiki.omaltsev
Содержимое
... ... @@ -1,25 +1,44 @@
1 -Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
1 +С данной статье описаны особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] или [[замкнутой программной среды (ЗПС)>>]].
2 2  
3 -Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа
4 -{{code language="bash"}}setfattr --restore=<dumpfile>{{/code}}
5 -
6 -либо через подпись
7 -
8 -
9 -{{code language="bash"}}for f in `find . -type f`
3 +Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
4 +{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
5 +либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
6 +Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
7 +{{code language="bash"}}
8 +$ docker run -it --rm --name alpine alpine ash
9 +{{code language="bash"}}
10 +В отдельной консоли:
11 +{{/code}}
12 +$ mkdir /tmp/alpine
13 +$ cd /tmp/alpine
14 +$ docker export - alpine | tar - -x
15 +$ for f in `find . -type f`
10 10  do
11 11  sudo evmctl -k <закрытый ключ> ima_sign $f
12 -done{{/code}}
18 +done
19 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
20 + --xattrs-include=security.NESSCTX \
21 + -C /tmp/alpine -c . | docker import - alpine-signed
22 +{{/code}}
23 +
13 13  
14 -экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов)
15 -{{code language="bash"}}tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX{{/code}}
16 -и импортом.
17 -
18 18  Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
19 19  Возможна установка в контейнер **paxrat** или ручная разметка исключений через
20 -{{code language="bash"}}$ sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
27 +{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
21 21  или через наложение дампа
22 -{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}}
29 +{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
30 +
31 +или ипользование (если в ОС образа отсутствует paxrat)
32 +
33 +{{code language="none"}}
34 +paxctl
35 +{{/code}}
36 +
37 +{{code language="none"}}
38 +chpax
39 +{{/code}}
40 +
41 +
23 23  или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
24 24  
25 25  Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
... ... @@ -27,35 +27,39 @@
27 27  Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
28 28  {{code language="bash"}}NESSCTX=t=30,50{{/code}}
29 29  И перечитать конфигурацию, перезапустить Docker.
30 -{{code language="bash"}}sudo systemctl daemon-reload
31 -sudo systemctl restart docker{{/code}}
49 +{{code language="bash"}}$ sudo systemctl daemon-reload
50 +$ sudo systemctl restart docker{{/code}}
32 32  
33 33  = Установка =
34 34  
35 -{{code language="bash"}}sudo apt install docker.io{{/code}}
54 +{{code language="bash"}}$ sudo apt install docker.io{{/code}}
36 36  Добавить пользователя в группу docker, перелогиниться.
37 -{{code language="bash"}}sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
56 +{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
38 38  
39 39  = Создание образа ОСнова =
40 40  
41 -Для создания образа требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию.
60 +Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
42 42  
43 43  {{code language="bash"}}
44 -sudo apt install debootstrap
63 +$ sudo apt install debootstrap
45 45  
46 -sudo mount /dev/cdrom /mnt
65 +$ sudo mount /dev/cdrom /mnt
47 47  
48 48  (или sudo mount -o loop onyx-Version-disk1.iso /mnt )
49 49  
50 -sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
69 +$ mkdir /tmp/image
51 51  
52 -sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
71 +$ cd /tmp/image
53 53  
54 -sudo umount /mnt
73 +$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
74 +
75 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
76 +
77 +$ sudo umount /mnt
55 55  {{/code}}
56 56  
57 57  = Тестовый запуск контейнера =
58 58  
59 59  {{code language="none"}}
60 -docker run -it --rm onyx bash
83 +$ docker run -it --rm onyx bash
61 61  {{/code}}