Изменения документа Docker

Сводка

• Свойства страницы (1 изменено, 0 добавлено, 0 удалено)

Подробности

Свойства страницы

Содержимое

...	...	@@ -6,17 +6,15 @@
6	6
7	7	= Работа в условиях ЗПС и MPROTECT =
8	8
9		-Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]] состоят в следующем:
	9	+Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем:
10	10
11		-Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
	11	+Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
12	12	{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
13	13	либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
14	14	Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
15		-{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash
16		-{{code language="bash"}}
	15	+{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash{{/code}}
17	17	В отдельной консоли:
18		-{{/code}}
19		-$ mkdir /tmp/alpine
	17	+{{code language="bash"}}$ mkdir /tmp/alpine
20	20	$ cd /tmp/alpine
21	21	$ docker export - alpine | tar - -x
22	22	$ for f in `find . -type f`
...	...	@@ -47,6 +47,7 @@
47	47
48	48	или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
49	49
	48	+
50	50	Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
51	51	Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**.
52	52	Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
...	...	@@ -55,32 +55,20 @@
55	55	{{code language="bash"}}$ sudo systemctl daemon-reload
56	56	$ sudo systemctl restart docker{{/code}}
57	57
58		-
59		-
60	60	= Создание образа ОСнова =
61	61
62		-Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
	59	+Для создания Docker образа на базе ОС ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
63	63
64	64	{{code language="bash"}}
65	65	$ sudo apt install debootstrap
66		-
67	67	$ sudo mount /dev/cdrom /mnt
68		-
69		-(или sudo mount -o loop onyx-Version-disk1.iso /mnt )
70		-
	64	+(или $ sudo mount -o loop onyx-Version-disk1.iso /mnt)
71	71	$ mkdir /tmp/image
72		-
73	73	$ cd /tmp/image
74		-
75	75	$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
76		-
77	77	$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
78		-
79	79	$ sudo umount /mnt
80	80	{{/code}}
81	81
82		-= Тестовый запуск контейнера =
83		-
84		-{{code language="none"}}
85		-$ docker run -it --rm onyx bash
86		-{{/code}}
	72	+Запуск контейнера:
	73	+{{code language="bash"}}$ docker run -it --rm onyx bash{{/code}}