Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 46.1
отредактировано Роман Воробьев
на 08.08.2021 03:08
Изменить комментарий: К данной версии нет комментариев
К версии 69.1
отредактировано omaltsev
на 01.10.2021 16:10
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Автор документа
... ... @@ -1,1 +1,1 @@
1 -XWiki.rvorobyev
1 +XWiki.omaltsev
Содержимое
... ... @@ -1,70 +1,69 @@
1 -Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
1 += Установка =
2 2  
3 -Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа
4 -{{code language="bash"}}setfattr --restore=<dumpfile>{{/code}}
3 +{{code language="bash"}}$ sudo apt install docker.io{{/code}}
4 +Добавить пользователя в группу docker, перелогиниться.
5 +{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
5 5  
6 -либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов)
7 -
7 += Работа в условиях замкнутой программной среды =
8 8  
9 -{{code language="none"}}
10 -sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - <имя подписанного образа>
9 +Особенности работы [[docker>>https://ru.wikipedia.org/wiki/Docker]]-контейнеров в ОС ОСнова в условиях [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем:
11 11  
12 -
13 -docker export - <имя контейнера> | tar - -xf
14 -{{/code}}
15 -
16 -{{code language="bash"}}
17 -for f in `find . -type f`
11 +Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
12 +{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
13 +либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
14 +Например, рассмотрим [[Alpine Linux>>https://alpinelinux.org/]] (выполнять при отключенной ЗПС):
15 +{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash{{/code}}
16 +В отдельной консоли:
17 +{{code language="bash"}}$ mkdir /tmp/alpine
18 +$ cd /tmp/alpine
19 +$ docker export - alpine | tar - -x
20 +$ for f in `find . -type f`
18 18  do
19 19  sudo evmctl -k <закрытый ключ> ima_sign $f
20 20  done
21 -{{/code}}
24 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
25 + --xattrs-include=security.NESSCTX \
26 + -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
27 +
28 += Работа в условиях механизма зашиты памяти MPROTECT =
22 22  
30 +В контейнерах, которые не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно на хосте под управлением ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]]. Существует несколько способов решения данной проблемы:
23 23  
24 -{{code language="none"}}sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - <имя подписанного образа>{{/code}}
25 -и импортом.
26 -
27 -Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
28 -Возможна установка в контейнер **paxrat** или ручная разметка исключений через
29 -{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
32 +1. Установка в контейнер **paxrat** или ручная разметка исключений через
33 +{{code language="bash"}}$ sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
30 30  или через наложение дампа
31 -{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
32 -или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
33 -
34 онтейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
35 -Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**.
36 -Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
35 +{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}}
36 +1. Использование (если в ОС образа контейнера отсутствует **paxrat**) устаревших утилит **paxctl** и/или **chpax**;
37 +1. Запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
38 АК?
39 +1. Запуск **всех** контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**.
40 +Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать:
37 37  {{code language="bash"}}NESSCTX=t=30,50{{/code}}
38 38  И перечитать конфигурацию, перезапустить Docker.
39 -{{code language="bash"}}sudo systemctl daemon-reload
40 -sudo systemctl restart docker{{/code}}
41 -
42 -= Установка =
43 -
44 -{{code language="bash"}}sudo apt install docker.io{{/code}}
45 -Добавить пользователя в группу docker, перелогиниться.
46 -{{code language="bash"}}sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
47 -
48 -= Создание образа ОСнова =
49 -
50 -Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
51 -
52 52  {{code language="bash"}}
53 -sudo apt install debootstrap
44 +$ sudo systemctl daemon-reload
45 +$ sudo systemctl restart docker
46 +{{/code}}
54 54  
55 -sudo mount /dev/cdrom /mnt
48 += Запуск docker-контейнера в контексте безопасности NESS =
56 56  
57 -(или sudo mount -o loop onyx-Version-disk1.iso /mnt )
50 +Контейнер может иметь определенный установленный контекст безопасности **NESS**, по умолчанию контекст пустой.
51 +КАК?
58 58  
59 -sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
53 += Создание docker-образа на базе ОС ОСнова =
60 60  
61 -sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
55 +Для создания [[docker>>https://ru.wikipedia.org/wiki/Docker]]-образа на базе ОС ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
62 62  
63 -sudo umount /mnt
57 +{{code language="bash"}}
58 +$ sudo apt install debootstrap
59 +$ sudo mount /dev/cdrom /mnt
60 +(или $ sudo mount -o loop onyx-Version-disk1.iso /mnt)
61 +$ mkdir /tmp/image
62 +$ cd /tmp/image
63 +$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
64 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
65 +$ sudo umount /mnt
64 64  {{/code}}
65 65  
66 -= Тестовый запуск контейнера =
67 -
68 -{{code language="none"}}
69 -docker run -it --rm onyx bash
70 -{{/code}}
68 +Запуск контейнера:
69 +{{code language="bash"}}$ docker run -it --rm onyx bash{{/code}}