От версии 47.1
отредактировано Роман Воробьев
на 08.08.2021 04:08
на 08.08.2021 04:08
Изменить комментарий:
К данной версии нет комментариев
К версии 1.1
отредактировано Роман Воробьев
на 31.07.2021 17:07
на 31.07.2021 17:07
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (3 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Родительский документ
-
... ... @@ -1,1 +1,1 @@ 1 - Sandbox.WebHome1 +ОСнова.Состав и ПО.WebHome - Теги
-
... ... @@ -1,1 +1,0 @@ 1 -docker|pax|mprotect|ЗПС|paxrat - Содержимое
-
... ... @@ -1,77 +1,10 @@ 1 -Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX>>]] (ели не отключено) и [[замкнутой программной среды (ЗПС)>>]] (если включено). 2 2 3 -Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа 4 -{{code language="bash"}}setfattr --restore=<dumpfile>{{/code}} 5 5 6 -ли бочерез подписьвсехфайловэкспортированногоконтейнераспоследующейзапаковкой(сучетомрасширенныхатрибутов)иимпортом.4 +Если защита памяти PaX не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename>. 7 7 8 -Например, рассмотрим Alpine: 9 - 10 10 11 -{{code language="none"}} 12 -docker run -it --rm --name alpine alpine ash 7 +Если контейнер не ОСнова, для работы в режиме ЗПС, его содержимое должно быть подписано. 13 13 14 14 15 -(в другой консоли) 16 -mkdir /tmp/alpine 17 -cd /tmp/alpine 18 -docker export - alpine | tar - -x 19 - 20 -{{/code}} 21 - 22 -{{code language="bash"}} 23 -for f in `find . -type f` 24 -do 25 -sudo evmctl -k <закрытый ключ> ima_sign $f 26 -done 27 -{{/code}} 28 - 29 - 30 -{{code language="none"}}sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - alpine-signed{{/code}} 31 - 32 - 33 - 34 -Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере. 35 -Возможна установка в контейнер **paxrat** или ручная разметка исключений через 36 -{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}} 37 -или через наложение дампа 38 -{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}} 39 -или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. 40 - 41 -Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой. 42 -Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. 43 -Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]** дописать: 44 -{{code language="bash"}}NESSCTX=t=30,50{{/code}} 45 -И перечитать конфигурацию, перезапустить Docker. 46 -{{code language="bash"}}sudo systemctl daemon-reload 47 -sudo systemctl restart docker{{/code}} 48 - 49 -= Установка = 50 - 51 -{{code language="bash"}}sudo apt install docker.io{{/code}} 52 -Добавить пользователя в группу docker, перелогиниться. 53 -{{code language="bash"}}sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}} 54 - 55 -= Создание образа ОСнова = 56 - 57 -Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). 58 - 59 -{{code language="bash"}} 60 -sudo apt install debootstrap 61 - 62 -sudo mount /dev/cdrom /mnt 63 - 64 -(или sudo mount -o loop onyx-Version-disk1.iso /mnt ) 65 - 66 -sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt 67 - 68 -sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx 69 - 70 -sudo umount /mnt 71 -{{/code}} 72 - 73 -= Тестовый запуск контейнера = 74 - 75 -{{code language="none"}} 76 -docker run -it --rm onyx bash 77 -{{/code}} 10 +Контейнер может иметь определенный установленный контекст безопасности NESS. По умолчанию контекст пустой.