| ... |
... |
@@ -4,9 +4,9 @@ |
| 4 |
4 |
Добавить пользователя в группу docker, перелогиниться. |
| 5 |
5 |
{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}} |
| 6 |
6 |
|
| 7 |
|
-= Работа в условиях замкнутой программной среды = |
|
7 |
+= Работа в условиях ЗПС и MPROTECT = |
| 8 |
8 |
|
| 9 |
|
-Особенности работы [[docker>>https://ru.wikipedia.org/wiki/Docker]]-контейнеров в ОС ОСнова в условиях [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем: |
|
9 |
+Особенности работы [[docker>>https://ru.wikipedia.org/wiki/Docker]]-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем: |
| 10 |
10 |
|
| 11 |
11 |
Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа: |
| 12 |
12 |
{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}} |
| ... |
... |
@@ -25,14 +25,16 @@ |
| 25 |
25 |
--xattrs-include=security.NESSCTX \ |
| 26 |
26 |
-C /tmp/alpine -c . | docker import - alpine-signed{{/code}} |
| 27 |
27 |
|
| 28 |
|
-= Работа в условиях механизма зашиты памяти MPROTECT = |
| 29 |
29 |
|
|
29 |
+ |
|
30 |
+= Работа в условиях активных механизмов зашиты памяти MPROTECT = |
|
31 |
+ |
| 30 |
30 |
В контейнерах, которые не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно на хосте под управлением ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]]. Существует несколько способов решения данной проблемы: |
| 31 |
31 |
|
| 32 |
32 |
1. Установка в контейнер **paxrat** или ручная разметка исключений через |
| 33 |
|
-{{code language="bash"}}$ sudo setfattr -n user.pax.flags -v m <filename>{{/code}} |
|
35 |
+{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}} |
| 34 |
34 |
или через наложение дампа |
| 35 |
|
-{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}} |
|
37 |
+{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}} |
| 36 |
36 |
1. Использование (если в ОС образа контейнера отсутствует **paxrat**) устаревших утилит **paxctl** и/или **chpax**; |
| 37 |
37 |
1. Запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. |
| 38 |
38 |
КАК? |
| ... |
... |
@@ -40,10 +40,8 @@ |
| 40 |
40 |
Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать: |
| 41 |
41 |
{{code language="bash"}}NESSCTX=t=30,50{{/code}} |
| 42 |
42 |
И перечитать конфигурацию, перезапустить Docker. |
| 43 |
|
-{{code language="bash"}} |
| 44 |
|
-$ sudo systemctl daemon-reload |
| 45 |
|
-$ sudo systemctl restart docker |
| 46 |
|
-{{/code}} |
|
45 |
+{{code language="bash"}}$ sudo systemctl daemon-reload |
|
46 |
+$ sudo systemctl restart docker{{/code}} |
| 47 |
47 |
|
| 48 |
48 |
= Запуск docker-контейнера в контексте безопасности NESS = |
| 49 |
49 |
|
