| ... |
... |
@@ -6,12 +6,12 @@ |
| 6 |
6 |
|
| 7 |
7 |
= Работа в условиях ЗПС и MPROTECT = |
| 8 |
8 |
|
| 9 |
|
-Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем: |
|
9 |
+Особенности работы [[docker>>https://ru.wikipedia.org/wiki/Docker]]-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем: |
| 10 |
10 |
|
| 11 |
11 |
Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа: |
| 12 |
12 |
{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}} |
| 13 |
13 |
либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом. |
| 14 |
|
-Например, рассмотрим Alpine (выполнять при отключенной ЗПС): |
|
14 |
+Например, рассмотрим [[Alpine Linux>>https://alpinelinux.org/]] (выполнять при отключенной ЗПС): |
| 15 |
15 |
{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash{{/code}} |
| 16 |
16 |
В отдельной консоли: |
| 17 |
17 |
{{code language="bash"}}$ mkdir /tmp/alpine |
| ... |
... |
@@ -54,9 +54,9 @@ |
| 54 |
54 |
{{code language="bash"}}$ sudo systemctl daemon-reload |
| 55 |
55 |
$ sudo systemctl restart docker{{/code}} |
| 56 |
56 |
|
| 57 |
|
-= Создание образа ОСнова = |
|
57 |
+= Создание docker-образа на базе ОС ОСнова = |
| 58 |
58 |
|
| 59 |
|
-Для создания Docker образа на базе ОС ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). |
|
59 |
+Для создания [[docker>>https://ru.wikipedia.org/wiki/Docker]]-образа на базе ОС ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). |
| 60 |
60 |
|
| 61 |
61 |
{{code language="bash"}} |
| 62 |
62 |
$ sudo apt install debootstrap |
