Изменения документа Docker

Сводка

• Свойства страницы (2 изменено, 0 добавлено, 0 удалено)

Подробности

Свойства страницы

Автор документа

...	...	@@ -1,1 +1,1 @@
1		-XWiki.rvorobyev
	1	+XWiki.omaltsev

Содержимое

...	...	@@ -1,20 +1,20 @@
1		-Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
	1	+С данной статье описаны особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]].
2	2
3		-Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа
4		-{{code language="bash"}}setfattr --restore=<dumpfile>{{/code}}
	3	+Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
	4	+{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
	5	+либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
	6	+Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
5	5
6		-либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов)
7		-
8		-
9		-{{code language="none"}}
10		-sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - <имя подписанного образа>
11		-
12		-
13		-docker export - <имя контейнера> | tar - -xf
	8	+{{code language="bash"}}
	9	+$ docker run -it --rm --name alpine alpine ash
	10	+(в другой консоли)
	11	+$ mkdir /tmp/alpine
	12	+$ cd /tmp/alpine
	13	+$ docker export - alpine | tar - -x
14	14	{{/code}}
15	15
16	16	{{code language="bash"}}
17		-for f in `find . -type f`
	17	+$ for f in `find . -type f`
18	18	do
19	19	sudo evmctl -k <закрытый ключ> ima_sign $f
20	20	done
...	...	@@ -21,14 +21,29 @@
21	21	{{/code}}
22	22
23	23
24		-{{code language="none"}}sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - <имя подписанного образа>{{/code}}
25		-и импортом.
	24	+{{code language="none"}}$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
	25	+ --xattrs-include=security.NESSCTX \
	26	+ -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
	27	+
26	26
	29	+
27	27	Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
28	28	Возможна установка в контейнер **paxrat** или ручная разметка исключений через
29	29	{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
30	30	или через наложение дампа
31	31	{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
	35	+
	36	+или ипользование (если в ОС образа отсутствует paxrat)
	37	+
	38	+{{code language="none"}}
	39	+paxctl
	40	+{{/code}}
	41	+
	42	+{{code language="none"}}
	43	+chpax
	44	+{{/code}}
	45	+
	46	+
32	32	или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
33	33
34	34	Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
...	...	@@ -36,14 +36,14 @@
36	36	Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
37	37	{{code language="bash"}}NESSCTX=t=30,50{{/code}}
38	38	И перечитать конфигурацию, перезапустить Docker.
39		-{{code language="bash"}}sudo systemctl daemon-reload
40		-sudo systemctl restart docker{{/code}}
	54	+{{code language="bash"}}$ sudo systemctl daemon-reload
	55	+$ sudo systemctl restart docker{{/code}}
41	41
42	42	= Установка =
43	43
44		-{{code language="bash"}}sudo apt install docker.io{{/code}}
	59	+{{code language="bash"}}$ sudo apt install docker.io{{/code}}
45	45	Добавить пользователя в группу docker, перелогиниться.
46		-{{code language="bash"}}sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
	61	+{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
47	47
48	48	= Создание образа ОСнова =
49	49
...	...	@@ -50,21 +50,25 @@
50	50	Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
51	51
52	52	{{code language="bash"}}
53		-sudo apt install debootstrap
	68	+$ sudo apt install debootstrap
54	54
55		-sudo mount /dev/cdrom /mnt
	70	+$ sudo mount /dev/cdrom /mnt
56	56
57	57	(или sudo mount -o loop onyx-Version-disk1.iso /mnt )
58	58
59		-sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
	74	+$ mkdir /tmp/image
60	60
61		-sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
	76	+$ cd /tmp/image
62	62
63		-sudo umount /mnt
	78	+$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
	79	+
	80	+$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
	81	+
	82	+$ sudo umount /mnt
64	64	{{/code}}
65	65
66	66	= Тестовый запуск контейнера =
67	67
68	68	{{code language="none"}}
69		-docker run -it --rm onyx bash
	88	+$ docker run -it --rm onyx bash
70	70	{{/code}}