Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 57.1
отредактировано omaltsev
на 01.10.2021 15:10
Изменить комментарий: К данной версии нет комментариев
К версии 47.1
отредактировано Роман Воробьев
на 08.08.2021 04:08
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Автор документа
... ... @@ -1,1 +1,1 @@
1 -XWiki.omaltsev
1 +XWiki.rvorobyev
Содержимое
... ... @@ -1,44 +1,41 @@
1 -С данной статье описаны особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]].
1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] ли не отключен) и [[замкнутой программной среды (ЗПС)>>]] (если включен).
2 2  
3 -Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
4 -{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
3 +Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа
4 +{{code language="bash"}}setfattr --restore=<dumpfile>{{/code}}
5 +
5 5  либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
6 -Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
7 -{{code language="bash"}}
8 -$ docker run -it --rm --name alpine alpine ash
9 -{{code language="bash"}}
10 -В отдельной консоли:
7 +
8 +Например, рассмотрим Alpine:
9 +
10 +
11 +{{code language="none"}}
12 +docker run -it --rm --name alpine alpine ash
13 +
14 +
15 +(в другой консоли)
16 +mkdir /tmp/alpine
17 +cd /tmp/alpine
18 +docker export - alpine | tar - -x
19 +
11 11  {{/code}}
12 -$ mkdir /tmp/alpine
13 -$ cd /tmp/alpine
14 -$ docker export - alpine | tar - -x
15 -$ for f in `find . -type f`
21 +
22 +{{code language="bash"}}
23 +for f in `find . -type f`
16 16  do
17 17  sudo evmctl -k <закрытый ключ> ima_sign $f
18 18  done
19 -$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
20 - --xattrs-include=security.NESSCTX \
21 - -C /tmp/alpine -c . | docker import - alpine-signed
22 22  {{/code}}
28 +
29 +
30 +{{code language="none"}}sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - alpine-signed{{/code}}
23 23  
24 24  
33 +
25 25  Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
26 26  Возможна установка в контейнер **paxrat** или ручная разметка исключений через
27 27  {{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
28 28  или через наложение дампа
29 29  {{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
30 -
31 -или ипользование (если в ОС образа отсутствует paxrat)
32 -
33 -{{code language="none"}}
34 -paxctl
35 -{{/code}}
36 -
37 -{{code language="none"}}
38 -chpax
39 -{{/code}}
40 -
41 -
42 42  или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
43 43  
44 44  Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
... ... @@ -46,14 +46,14 @@
46 46  Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
47 47  {{code language="bash"}}NESSCTX=t=30,50{{/code}}
48 48  И перечитать конфигурацию, перезапустить Docker.
49 -{{code language="bash"}}$ sudo systemctl daemon-reload
50 -$ sudo systemctl restart docker{{/code}}
46 +{{code language="bash"}}sudo systemctl daemon-reload
47 +sudo systemctl restart docker{{/code}}
51 51  
52 52  = Установка =
53 53  
54 -{{code language="bash"}}$ sudo apt install docker.io{{/code}}
51 +{{code language="bash"}}sudo apt install docker.io{{/code}}
55 55  Добавить пользователя в группу docker, перелогиниться.
56 -{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
53 +{{code language="bash"}}sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
57 57  
58 58  = Создание образа ОСнова =
59 59  
... ... @@ -60,25 +60,21 @@
60 60  Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
61 61  
62 62  {{code language="bash"}}
63 -$ sudo apt install debootstrap
60 +sudo apt install debootstrap
64 64  
65 -$ sudo mount /dev/cdrom /mnt
62 +sudo mount /dev/cdrom /mnt
66 66  
67 67  (или sudo mount -o loop onyx-Version-disk1.iso /mnt )
68 68  
69 -$ mkdir /tmp/image
66 +sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
70 70  
71 -$ cd /tmp/image
68 +sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
72 72  
73 -$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
74 -
75 -$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
76 -
77 -$ sudo umount /mnt
70 +sudo umount /mnt
78 78  {{/code}}
79 79  
80 80  = Тестовый запуск контейнера =
81 81  
82 82  {{code language="none"}}
83 -$ docker run -it --rm onyx bash
76 +docker run -it --rm onyx bash
84 84  {{/code}}