Изменения документа Docker

Сводка

• Свойства страницы (1 изменено, 0 добавлено, 0 удалено)

Подробности

Свойства страницы

Содержимое

...	...	@@ -4,29 +4,24 @@
4	4	{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
5	5	либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
6	6	Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
7		-
8	8	{{code language="bash"}}
9	9	$ docker run -it --rm --name alpine alpine ash
10		-(в другой консоли)
	9	+{{code language="bash"}}
	10	+В отдельной консоли:
	11	+{{/code}}
11	11	$ mkdir /tmp/alpine
12	12	$ cd /tmp/alpine
13	13	$ docker export - alpine | tar - -x
14		-{{/code}}
15		-
16		-{{code language="bash"}}
17	17	$ for f in `find . -type f`
18	18	do
19	19	sudo evmctl -k <закрытый ключ> ima_sign $f
20	20	done
21		-{{/code}}
22		-
23		-
24		-{{code language="none"}}$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
	19	+$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
25	25	--xattrs-include=security.NESSCTX \
26		- -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
	21	+ -C /tmp/alpine -c . | docker import - alpine-signed
	22	+{{/code}}
27	27
28	28
29		-
30	30	Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
31	31	Возможна установка в контейнер **paxrat** или ручная разметка исключений через
32	32	{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}