Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 56.1
отредактировано omaltsev
на 01.10.2021 15:10
Изменить комментарий: К данной версии нет комментариев
К версии 21.1
отредактировано Роман Воробьев
на 02.08.2021 01:08
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Родительский документ
... ... @@ -1,1 +1,1 @@
1 -Sandbox.WebHome
1 +ОСнова.Состав и ПО.WebHome
Автор документа
... ... @@ -1,1 +1,1 @@
1 -XWiki.omaltsev
1 +XWiki.rvorobyev
Теги
... ... @@ -1,1 +1,1 @@
1 -docker|pax|mprotect|ЗПС|paxrat
1 +Docker|pax|mprotect|ЗПС
Содержимое
... ... @@ -1,89 +1,67 @@
1 -С данной статье описаны особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]].
1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] ли не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
2 2  
3 -Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
4 -{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
5 -либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
6 -Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
7 7  
8 -{{code language="bash"}}
9 -$ docker run -it --rm --name alpine alpine ash
10 -(в другой консоли)
11 -$ mkdir /tmp/alpine
12 -$ cd /tmp/alpine
13 -$ docker export - alpine | tar - -x
14 -{{/code}}
4 +Если контейнер не ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа setfattr ~-~-restore=, либо через подпись evmctl экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов, tar ~-~-xattrs-include=user.pax.flags ~-~-xattrs-include=security.ima ~-~-xattrs-include=security.NESSCTX) и импортом.
15 15  
16 -{{code language="bash"}}
17 -$ for f in `find . -type f`
18 -do
19 -sudo evmctl -k <закрытый ключ> ima_sign $f
20 -done
21 -{{/code}}
22 22  
23 -
24 -{{code language="none"}}$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
25 - --xattrs-include=security.NESSCTX \
26 - -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
27 -
28 -
29 -
30 -Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
31 -Возможна установка в контейнер **paxrat** или ручная разметка исключений через
32 -{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
33 -или через наложение дампа
34 -{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
35 -
36 -или ипользование (если в ОС образа отсутствует paxrat)
37 -
7 +Если защита памяти **PaX MPROTECT** не отключена [[(глобальное отключение через mprotect=off в командной строке ядра или в конфиге grub, работает для всех ядер кроме hardened)>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через
38 38  {{code language="none"}}
39 -paxctl
9 +setfattr -n user.pax.flags -v m <filename>
40 40  {{/code}}
41 41  
12 +или через
13 +
42 42  {{code language="none"}}
43 -chpax
15 +chpax, paxctl
44 44  {{/code}}
45 45  
18 +или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **Pax MPROTECT**.
46 46  
47 -или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
48 48  
21 +
49 49  Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
23 +
50 50  Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**.
25 +
51 51  Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
52 -{{code language="bash"}}NESSCTX=t=30,50{{/code}}
53 -И перечитать конфигурацию, перезапустить Docker.
54 -{{code language="bash"}}$ sudo systemctl daemon-reload
55 -$ sudo systemctl restart docker{{/code}}
56 56  
57 -= Установка =
58 58  
59 -{{code language="bash"}}$ sudo apt install docker.io{{/code}}
60 -Добавить пользователя в группу docker, перелогиниться.
61 -{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
29 +{{code language="none"}}
30 +NESSCTX=t=30,50
31 +{{/code}}
62 62  
63 -= Создание образа ОСнова =
33 +И перезагрузить Docker.
64 64  
65 -Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
35 +{{code language="none"}}
36 +sudo systemctl daemon-reload
37 +sudo systemctl restart docker
38 +{{/code}}
66 66  
67 -{{code language="bash"}}
68 -$ sudo apt install debootstrap
40 += Установка =
69 69  
70 -$ sudo mount /dev/cdrom /mnt
42 += =
71 71  
72 -(или sudo mount -o loop onyx-Version-disk1.iso /mnt )
44 +{{code language="none"}}
45 +sudo apt install docker.io
46 +{{/code}}
73 73  
74 -$ mkdir /tmp/image
48 +Добавить пользователя в группу docker, перелогиниться.
75 75  
76 -$ cd /tmp/image
50 +{{code language="none"}}
51 +sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ
52 +{{/code}}
77 77  
78 -$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
54 += Создание образа ОСнова =
79 79  
80 -$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
56 +{{code language="none"}}
57 +sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx http://ftp.ct/OSNova/testing/onyx/mounted-iso-main-disk1
81 81  
82 -$ sudo umount /mnt
59 +sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
83 83  {{/code}}
84 84  
85 85  = Тестовый запуск контейнера =
86 86  
64 +
87 87  {{code language="none"}}
88 -$ docker run -it --rm onyx bash
66 +docker run -it onyx bash
89 89  {{/code}}