| ... |
... |
@@ -4,29 +4,24 @@ |
| 4 |
4 |
{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}} |
| 5 |
5 |
либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом. |
| 6 |
6 |
Например, рассмотрим Alpine (выполнять при отключенной ЗПС): |
| 7 |
|
- |
| 8 |
8 |
{{code language="bash"}} |
| 9 |
9 |
$ docker run -it --rm --name alpine alpine ash |
| 10 |
|
-(в другой консоли) |
|
9 |
+{{code language="bash"}} |
|
10 |
+В отдельной консоли: |
|
11 |
+{{/code}} |
| 11 |
11 |
$ mkdir /tmp/alpine |
| 12 |
12 |
$ cd /tmp/alpine |
| 13 |
13 |
$ docker export - alpine | tar - -x |
| 14 |
|
-{{/code}} |
| 15 |
|
- |
| 16 |
|
-{{code language="bash"}} |
| 17 |
17 |
$ for f in `find . -type f` |
| 18 |
18 |
do |
| 19 |
19 |
sudo evmctl -k <закрытый ключ> ima_sign $f |
| 20 |
20 |
done |
| 21 |
|
-{{/code}} |
| 22 |
|
- |
| 23 |
|
- |
| 24 |
|
-{{code language="none"}}$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \ |
|
19 |
+$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \ |
| 25 |
25 |
--xattrs-include=security.NESSCTX \ |
| 26 |
|
- -C /tmp/alpine -c . | docker import - alpine-signed{{/code}} |
|
21 |
+ -C /tmp/alpine -c . | docker import - alpine-signed |
|
22 |
+{{/code}} |
| 27 |
27 |
|
| 28 |
28 |
|
| 29 |
|
- |
| 30 |
30 |
Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере. |
| 31 |
31 |
Возможна установка в контейнер **paxrat** или ручная разметка исключений через |
| 32 |
32 |
{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}} |
