| ... |
... |
@@ -26,30 +26,34 @@ |
| 26 |
26 |
-C /tmp/alpine -c . | docker import - alpine-signed{{/code}} |
| 27 |
27 |
|
| 28 |
28 |
|
| 29 |
|
- |
| 30 |
|
-= Работа в условиях активных механизмов зашиты памяти MPROTECT = |
| 31 |
|
- |
| 32 |
|
-В контейнерах, которые не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно на хосте под управлением ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]]. Существует несколько способов решения данной проблемы: |
| 33 |
|
- |
| 34 |
|
-1. Установка в контейнер **paxrat** или ручная разметка исключений через |
|
29 |
+Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере. |
|
30 |
+Возможна установка в контейнер **paxrat** или ручная разметка исключений через |
| 35 |
35 |
{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}} |
| 36 |
36 |
или через наложение дампа |
| 37 |
37 |
{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}} |
| 38 |
|
-1. Использование (если в ОС образа контейнера отсутствует **paxrat**) устаревших утилит **paxctl** и/или **chpax**; |
| 39 |
|
-1. Запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. |
| 40 |
|
-КАК? |
| 41 |
|
-1. Запуск **всех** контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. |
| 42 |
|
-Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать: |
|
34 |
+ |
|
35 |
+или ипользование (если в ОС образа отсутствует paxrat) |
|
36 |
+ |
|
37 |
+{{code language="none"}} |
|
38 |
+paxctl |
|
39 |
+{{/code}} |
|
40 |
+ |
|
41 |
+{{code language="none"}} |
|
42 |
+chpax |
|
43 |
+{{/code}} |
|
44 |
+ |
|
45 |
+ |
|
46 |
+или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. |
|
47 |
+ |
|
48 |
+ |
|
49 |
+Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой. |
|
50 |
+Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. |
|
51 |
+Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]** дописать: |
| 43 |
43 |
{{code language="bash"}}NESSCTX=t=30,50{{/code}} |
| 44 |
44 |
И перечитать конфигурацию, перезапустить Docker. |
| 45 |
45 |
{{code language="bash"}}$ sudo systemctl daemon-reload |
| 46 |
46 |
$ sudo systemctl restart docker{{/code}} |
| 47 |
47 |
|
| 48 |
|
-= Запуск docker-контейнера в контексте безопасности NESS = |
| 49 |
|
- |
| 50 |
|
-Контейнер может иметь определенный установленный контекст безопасности **NESS**, по умолчанию контекст пустой. |
| 51 |
|
-КАК? |
| 52 |
|
- |
| 53 |
53 |
= Создание docker-образа на базе ОС ОСнова = |
| 54 |
54 |
|
| 55 |
55 |
Для создания [[docker>>https://ru.wikipedia.org/wiki/Docker]]-образа на базе ОС ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]). |
