Изменения документа Docker

Редактировал(а) sevstegneev 16.06.2025 15:06
От версии 69.1
отредактировано omaltsev
на 01.10.2021 16:10
Изменить комментарий: К данной версии нет комментариев
К версии 68.1
отредактировано omaltsev
на 01.10.2021 16:10
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Содержимое
... ... @@ -4,9 +4,9 @@
4 4  Добавить пользователя в группу docker, перелогиниться.
5 5  {{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
6 6  
7 -= Работа в условиях замкнутой программной среды =
7 += Работа в условиях ЗПС и MPROTECT =
8 8  
9 -Особенности работы [[docker>>https://ru.wikipedia.org/wiki/Docker]]-контейнеров в ОС ОСнова в условиях [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем:
9 +Особенности работы [[docker>>https://ru.wikipedia.org/wiki/Docker]]-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем:
10 10  
11 11  Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
12 12  {{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
... ... @@ -25,14 +25,16 @@
25 25   --xattrs-include=security.NESSCTX \
26 26   -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
27 27  
28 -= Работа в условиях механизма зашиты памяти MPROTECT =
29 29  
29 +
30 += Работа в условиях активных механизмов зашиты памяти MPROTECT =
31 +
30 30  В контейнерах, которые не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно на хосте под управлением ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]]. Существует несколько способов решения данной проблемы:
31 31  
32 32  1. Установка в контейнер **paxrat** или ручная разметка исключений через
33 -{{code language="bash"}}$ sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
35 +{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
34 34  или через наложение дампа
35 -{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}}
37 +{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
36 36  1. Использование (если в ОС образа контейнера отсутствует **paxrat**) устаревших утилит **paxctl** и/или **chpax**;
37 37  1. Запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
38 38  КАК?
... ... @@ -40,10 +40,8 @@
40 40  Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать:
41 41  {{code language="bash"}}NESSCTX=t=30,50{{/code}}
42 42  И перечитать конфигурацию, перезапустить Docker.
43 -{{code language="bash"}}
44 -$ sudo systemctl daemon-reload
45 -$ sudo systemctl restart docker
46 -{{/code}}
45 +{{code language="bash"}}$ sudo systemctl daemon-reload
46 +$ sudo systemctl restart docker{{/code}}
47 47  
48 48  = Запуск docker-контейнера в контексте безопасности NESS =
49 49