Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 58.1
отредактировано omaltsev
на 01.10.2021 15:10
Изменить комментарий: К данной версии нет комментариев
К версии 10.1
отредактировано Роман Воробьев
на 01.08.2021 01:08
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Родительский документ
... ... @@ -1,1 +1,1 @@
1 -Sandbox.WebHome
1 +ОСнова.Состав и ПО.WebHome
Автор документа
... ... @@ -1,1 +1,1 @@
1 -XWiki.omaltsev
1 +XWiki.rvorobyev
Теги
... ... @@ -1,1 +1,1 @@
1 -docker|pax|mprotect|ЗПС|paxrat
1 +Docker|pax|mprotect|ЗПС
Содержимое
... ... @@ -1,86 +1,49 @@
1 -= Установка =
1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключено) и [[замкнутой программной среды (ЗПС)>>]] (если включено).
2 2  
3 -{{code language="bash"}}$ sudo apt install docker.io{{/code}}
4 -Добавить пользователя в группу docker, перелогиниться.
5 -{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
6 6  
7 -= Работа в условиях ЗПС и MPROTECT =
4 +Если защита памяти **PaX MPROTECT** не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename> или через chpax или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **Pax MPROTECT**.
8 8  
9 -Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]] состоят в следующем:
10 10  
11 -Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
12 -{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
13 -либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
14 -Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
15 -{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash
16 -{{code language="bash"}}
17 -В отдельной консоли:
18 -{{/code}}
19 -$ mkdir /tmp/alpine
20 -$ cd /tmp/alpine
21 -$ docker export - alpine | tar - -x
22 -$ for f in `find . -type f`
23 -do
24 -sudo evmctl -k <закрытый ключ> ima_sign $f
25 -done
26 -$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
27 - --xattrs-include=security.NESSCTX \
28 - -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
29 -
7 +Если контейнер не ОСнова, для работы в режиме **ЗПС**, его содержимое должно быть подписано. Это возможно сделать через наложение дампа setfattr ~-~-restore, либо через подпись evmctl экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов, tar ~-~-xattrs-include=user.pax.flags ~-~-xattrs-include=security.ima ~-~-xattrs-include=security.NESSCTX) и импортом.
30 30  
31 -Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
32 -Возможна установка в контейнер **paxrat** или ручная разметка исключений через
33 -{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
34 -или через наложение дампа
35 -{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
36 36  
37 -или ипользование (если в ОС образа отсутствует paxrat)
38 -
39 -{{code language="none"}}
40 -paxctl
41 -{{/code}}
42 -
43 -{{code language="none"}}
44 -chpax
45 -{{/code}}
46 -
47 -
48 -или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
49 -
50 50  Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
11 +
51 51  Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**.
52 -Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
53 -{{code language="bash"}}NESSCTX=t=30,50{{/code}}
54 -И перечитать конфигурацию, перезапустить Docker.
55 -{{code language="bash"}}$ sudo systemctl daemon-reload
56 -$ sudo systemctl restart docker{{/code}}
57 57  
14 +Для этого в файле ** /lib/systemd/system/docker.service** в секции **[Service]**  дописать:
58 58  
59 59  
60 -= Создание образа ОСнова =
17 +{{code language="none"}}
18 +NESSCTX=t=30,50
19 +{{/code}}
61 61  
62 -Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
63 63  
64 -{{code language="bash"}}
65 -$ sudo apt install debootstrap
22 += Установка =
66 66  
67 -$ sudo mount /dev/cdrom /mnt
24 += =
68 68  
69 -(или sudo mount -o loop onyx-Version-disk1.iso /mnt )
26 +{{code language="none"}}
27 +sudo apt install docker.io
28 +{{/code}}
70 70  
71 -$ mkdir /tmp/image
30 +Добавить пользователя в группу docker, перелогиниться.
72 72  
73 -$ cd /tmp/image
32 +{{code language="none"}}
33 +sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ
34 +{{/code}}
74 74  
75 -$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
36 += Создание образа ОСнова =
76 76  
77 -$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
38 +{{code language="none"}}
39 +sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx http://ftp.ct/OSNova/testing/onyx/mounted-iso-main-disk1
78 78  
79 -$ sudo umount /mnt
41 +sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
80 80  {{/code}}
81 81  
82 82  = Тестовый запуск контейнера =
83 83  
46 +
84 84  {{code language="none"}}
85 -$ docker run -it --rm onyx bash
48 +docker run -it onyx bash
86 86  {{/code}}