Изменения документа Docker

Редактировал(а) sevstegneev 16.06.2025 15:06
От версии 60.1
отредактировано omaltsev
на 01.10.2021 15:10
Изменить комментарий: К данной версии нет комментариев
К версии 57.1
отредактировано omaltsev
на 01.10.2021 15:10
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Содержимое
... ... @@ -1,20 +1,14 @@
1 -= Установка =
1 +С данной статье описаны особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]].
2 2  
3 -{{code language="bash"}}$ sudo apt install docker.io{{/code}}
4 -Добавить пользователя в группу docker, перелогиниться.
5 -{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
6 -
7 -= Работа в условиях ЗПС и MPROTECT =
8 -
9 -Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]] состоят в следующем:
10 -
11 -Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
3 +Если контейнер не базируется на ОС ОСнова, для работы в режиме **замкнутой программной среды (ЗПС)**, все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
12 12  {{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
13 13  либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
14 14  Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
15 -{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash{{/code}}
16 -В отдельной консоли:
17 17  {{code language="bash"}}
8 +$ docker run -it --rm --name alpine alpine ash
9 +{{code language="bash"}}
10 +В отдельной консоли:
11 +{{/code}}
18 18  $ mkdir /tmp/alpine
19 19  $ cd /tmp/alpine
20 20  $ docker export - alpine | tar - -x
... ... @@ -24,7 +24,8 @@
24 24  done
25 25  $ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
26 26   --xattrs-include=security.NESSCTX \
27 - -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
21 + -C /tmp/alpine -c . | docker import - alpine-signed
22 +{{/code}}
28 28  
29 29  
30 30  Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
... ... @@ -54,7 +54,11 @@
54 54  {{code language="bash"}}$ sudo systemctl daemon-reload
55 55  $ sudo systemctl restart docker{{/code}}
56 56  
52 += Установка =
57 57  
54 +{{code language="bash"}}$ sudo apt install docker.io{{/code}}
55 +Добавить пользователя в группу docker, перелогиниться.
56 +{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
58 58  
59 59  = Создание образа ОСнова =
60 60  
... ... @@ -62,17 +62,24 @@
62 62  
63 63  {{code language="bash"}}
64 64  $ sudo apt install debootstrap
64 +
65 65  $ sudo mount /dev/cdrom /mnt
66 -(или $ sudo mount -o loop onyx-Version-disk1.iso /mnt)
66 +
67 +(или sudo mount -o loop onyx-Version-disk1.iso /mnt )
68 +
67 67  $ mkdir /tmp/image
70 +
68 68  $ cd /tmp/image
72 +
69 69  $ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
74 +
70 70  $ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
76 +
71 71  $ sudo umount /mnt
72 72  {{/code}}
73 73  
74 74  = Тестовый запуск контейнера =
75 75  
76 -{{code language="bash"}}
82 +{{code language="none"}}
77 77  $ docker run -it --rm onyx bash
78 78  {{/code}}