| ... |
... |
@@ -6,7 +6,7 @@ |
| 6 |
6 |
|
| 7 |
7 |
= Работа в условиях ЗПС и MPROTECT = |
| 8 |
8 |
|
| 9 |
|
-Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем: |
|
9 |
+Особенности работы [[docker>>https://ru.wikipedia.org/wiki/Docker]]-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем: |
| 10 |
10 |
|
| 11 |
11 |
Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа: |
| 12 |
12 |
{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}} |
| ... |
... |
@@ -31,32 +31,27 @@ |
| 31 |
31 |
{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}} |
| 32 |
32 |
или через наложение дампа |
| 33 |
33 |
{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}} |
| 34 |
|
- |
| 35 |
|
-или ипользование (если в ОС образа отсутствует paxrat) |
| 36 |
|
- |
| 37 |
|
-{{code language="none"}} |
| 38 |
|
-paxctl |
| 39 |
|
-{{/code}} |
| 40 |
|
- |
| 41 |
|
-{{code language="none"}} |
| 42 |
|
-chpax |
| 43 |
|
-{{/code}} |
| 44 |
|
- |
| 45 |
|
- |
|
34 |
+или использование (если в ОС образа отсутствует **paxrat**) устаревших утилит **paxctl** и/или **chpax**, |
| 46 |
46 |
или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. |
|
36 |
+КАК? |
| 47 |
47 |
|
| 48 |
|
- |
| 49 |
|
-Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой. |
| 50 |
|
-Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. |
| 51 |
|
-Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]** дописать: |
|
38 |
+Также возможен запуск **всех** контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. |
|
39 |
+Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать: |
| 52 |
52 |
{{code language="bash"}}NESSCTX=t=30,50{{/code}} |
| 53 |
53 |
И перечитать конфигурацию, перезапустить Docker. |
| 54 |
|
-{{code language="bash"}}$ sudo systemctl daemon-reload |
| 55 |
|
-$ sudo systemctl restart docker{{/code}} |
|
42 |
+{{code language="bash"}} |
|
43 |
+$ sudo systemctl daemon-reload |
|
44 |
+$ sudo systemctl restart docker |
|
45 |
+{{/code}} |
| 56 |
56 |
|
|
47 |
+= Запуск docker-контейнера в контексте безопасности NESS = |
|
48 |
+ |
|
49 |
+Контейнер может иметь определенный установленный контекст безопасности **NESS**, по умолчанию контекст пустой. |
|
50 |
+КАК? |
|
51 |
+ |
| 57 |
57 |
= Создание docker-образа на базе ОС ОСнова = |
| 58 |
58 |
|
| 59 |
|
-Для создания Docker образа на базе ОС ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). |
|
54 |
+Для создания [[docker>>https://ru.wikipedia.org/wiki/Docker]]-образа на базе ОС ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). |
| 60 |
60 |
|
| 61 |
61 |
{{code language="bash"}} |
| 62 |
62 |
$ sudo apt install debootstrap |
