Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 55.1
отредактировано Роман Воробьев
на 02.09.2021 13:09
Изменить комментарий: К данной версии нет комментариев
К версии 46.1
отредактировано Роман Воробьев
на 08.08.2021 03:08
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Содержимое
... ... @@ -1,26 +1,20 @@
1 -Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (если не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
2 2  
3 3  Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа
4 -{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
4 +{{code language="bash"}}setfattr --restore=<dumpfile>{{/code}}
5 5  
6 -либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
7 -
8 -Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
6 +либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов)
9 9  
10 10  
11 11  {{code language="none"}}
12 -$ docker run -it --rm --name alpine alpine ash
10 +sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - <имя подписанного образа>
13 13  
14 14  
15 -(в другой консоли)
16 -$ mkdir /tmp/alpine
17 -$ cd /tmp/alpine
18 -$ docker export - alpine | tar - -x
19 -
13 +docker export - <имя контейнера> | tar - -xf
20 20  {{/code}}
21 21  
22 22  {{code language="bash"}}
23 -$ for f in `find . -type f`
17 +for f in `find . -type f`
24 24  do
25 25  sudo evmctl -k <закрытый ключ> ima_sign $f
26 26  done
... ... @@ -27,29 +27,14 @@
27 27  {{/code}}
28 28  
29 29  
30 -{{code language="none"}}$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
31 - --xattrs-include=security.NESSCTX \
32 - -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
33 -
24 +{{code language="none"}}sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - <имя подписанного образа>{{/code}}
25 +и импортом.
34 34  
35 -
36 36  Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
37 37  Возможна установка в контейнер **paxrat** или ручная разметка исключений через
38 38  {{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
39 39  или через наложение дампа
40 40  {{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
41 -
42 -или ипользование (если в ОС образа отсутствует paxrat)
43 -
44 -{{code language="none"}}
45 -paxctl
46 -{{/code}}
47 -
48 -{{code language="none"}}
49 -chpax
50 -{{/code}}
51 -
52 -
53 53  или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
54 54  
55 55  Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
... ... @@ -57,14 +57,14 @@
57 57  Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
58 58  {{code language="bash"}}NESSCTX=t=30,50{{/code}}
59 59  И перечитать конфигурацию, перезапустить Docker.
60 -{{code language="bash"}}$ sudo systemctl daemon-reload
61 -$ sudo systemctl restart docker{{/code}}
39 +{{code language="bash"}}sudo systemctl daemon-reload
40 +sudo systemctl restart docker{{/code}}
62 62  
63 63  = Установка =
64 64  
65 -{{code language="bash"}}$ sudo apt install docker.io{{/code}}
44 +{{code language="bash"}}sudo apt install docker.io{{/code}}
66 66  Добавить пользователя в группу docker, перелогиниться.
67 -{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
46 +{{code language="bash"}}sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
68 68  
69 69  = Создание образа ОСнова =
70 70  
... ... @@ -71,25 +71,21 @@
71 71  Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
72 72  
73 73  {{code language="bash"}}
74 -$ sudo apt install debootstrap
53 +sudo apt install debootstrap
75 75  
76 -$ sudo mount /dev/cdrom /mnt
55 +sudo mount /dev/cdrom /mnt
77 77  
78 78  (или sudo mount -o loop onyx-Version-disk1.iso /mnt )
79 79  
80 -$ mkdir /tmp/image
59 +sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
81 81  
82 -$ cd /tmp/image
61 +sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
83 83  
84 -$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
85 -
86 -$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
87 -
88 -$ sudo umount /mnt
63 +sudo umount /mnt
89 89  {{/code}}
90 90  
91 91  = Тестовый запуск контейнера =
92 92  
93 93  {{code language="none"}}
94 -$ docker run -it --rm onyx bash
69 +docker run -it --rm onyx bash
95 95  {{/code}}