От версии 60.1
отредактировано omaltsev
на 01.10.2021 15:10
на 01.10.2021 15:10
Изменить комментарий:
К данной версии нет комментариев
К версии 2.1
отредактировано Роман Воробьев
на 31.07.2021 17:07
на 31.07.2021 17:07
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (4 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Родительский документ
-
... ... @@ -1,1 +1,1 @@ 1 - Sandbox.WebHome1 +ОСнова.Состав и ПО.WebHome - Автор документа
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki.o maltsev1 +XWiki.rvorobyev - Теги
-
... ... @@ -1,1 +1,0 @@ 1 -docker|pax|mprotect|ЗПС|paxrat - Содержимое
-
... ... @@ -1,78 +1,10 @@ 1 - =Установка=1 +Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключено) и [[замкнутой программной среды (ЗПС)>>]] (если включено). 2 2 3 -{{code language="bash"}}$ sudo apt install docker.io{{/code}} 4 -Добавить пользователя в группу docker, перелогиниться. 5 -{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}} 6 6 7 - =Работа в условияхЗПСиMPROTECT=4 +Если защита памяти PaX MPROTECT не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename>. 8 8 9 -Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]] состоят в следующем: 10 10 11 -Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа: 12 -{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}} 13 -либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом. 14 -Например, рассмотрим Alpine (выполнять при отключенной ЗПС): 15 -{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash{{/code}} 16 -В отдельной консоли: 17 -{{code language="bash"}} 18 -$ mkdir /tmp/alpine 19 -$ cd /tmp/alpine 20 -$ docker export - alpine | tar - -x 21 -$ for f in `find . -type f` 22 -do 23 -sudo evmctl -k <закрытый ключ> ima_sign $f 24 -done 25 -$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \ 26 - --xattrs-include=security.NESSCTX \ 27 - -C /tmp/alpine -c . | docker import - alpine-signed{{/code}} 28 - 7 +Если контейнер не ОСнова, для работы в режиме ЗПС, его содержимое должно быть подписано. 29 29 30 -Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере. 31 -Возможна установка в контейнер **paxrat** или ручная разметка исключений через 32 -{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}} 33 -или через наложение дампа 34 -{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}} 35 35 36 -или ипользование (если в ОС образа отсутствует paxrat) 37 - 38 -{{code language="none"}} 39 -paxctl 40 -{{/code}} 41 - 42 -{{code language="none"}} 43 -chpax 44 -{{/code}} 45 - 46 - 47 -или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. 48 - 49 -Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой. 50 -Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. 51 -Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]** дописать: 52 -{{code language="bash"}}NESSCTX=t=30,50{{/code}} 53 -И перечитать конфигурацию, перезапустить Docker. 54 -{{code language="bash"}}$ sudo systemctl daemon-reload 55 -$ sudo systemctl restart docker{{/code}} 56 - 57 - 58 - 59 -= Создание образа ОСнова = 60 - 61 -Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). 62 - 63 -{{code language="bash"}} 64 -$ sudo apt install debootstrap 65 -$ sudo mount /dev/cdrom /mnt 66 -(или $ sudo mount -o loop onyx-Version-disk1.iso /mnt) 67 -$ mkdir /tmp/image 68 -$ cd /tmp/image 69 -$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt 70 -$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx 71 -$ sudo umount /mnt 72 -{{/code}} 73 - 74 -= Тестовый запуск контейнера = 75 - 76 -{{code language="bash"}} 77 -$ docker run -it --rm onyx bash 78 -{{/code}} 10 +Контейнер может иметь определенный установленный контекст безопасности NESS. По умолчанию контекст пустой.