| ... |
... |
@@ -11,7 +11,7 @@ |
| 11 |
11 |
Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа: |
| 12 |
12 |
{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}} |
| 13 |
13 |
либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом. |
| 14 |
|
-Например, рассмотрим [[Alpine Linux>>https://alpinelinux.org/]] (выполнять при отключенной [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]]): |
|
14 |
+Например, рассмотрим [[Alpine Linux>>https://alpinelinux.org/]] (выполнять при отключенной ЗПС): |
| 15 |
15 |
{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash{{/code}} |
| 16 |
16 |
В отдельной консоли: |
| 17 |
17 |
{{code language="bash"}}$ mkdir /tmp/alpine |
| ... |
... |
@@ -24,10 +24,11 @@ |
| 24 |
24 |
$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \ |
| 25 |
25 |
--xattrs-include=security.NESSCTX \ |
| 26 |
26 |
-C /tmp/alpine -c . | docker import - alpine-signed{{/code}} |
|
27 |
+ |
| 27 |
27 |
|
| 28 |
|
-= Работа в условиях механизма зашиты памяти = |
|
29 |
+= Работа в условиях механизма зашиты памяти MPROTECT = |
| 29 |
29 |
|
| 30 |
|
-В контейнерах, которые не базируется на ОС ОСнова, некоторое ПО, например [[Java>>https://ru.wikipedia.org/wiki/Java]], не будет функционировать корректно на хосте под управлением ОС ОСнова с включенными механизмами [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита памяти.WebHome]]. Существует несколько способов решения данной проблемы: |
|
31 |
+В контейнерах, которые не базируется на ОС ОСнова, некоторое ПО, например [[Java>>https://ru.wikipedia.org/wiki/Java]], не будет функционировать корректно на хосте под управлением ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]]. Существует несколько способов решения данной проблемы: |
| 31 |
31 |
|
| 32 |
32 |
1. Установка в контейнер **paxrat** или ручная разметка исключений через |
| 33 |
33 |
{{code language="bash"}}$ sudo setfattr -n user.pax.flags -v m <filename>{{/code}} |
| ... |
... |
@@ -34,9 +34,9 @@ |
| 34 |
34 |
или через наложение дампа |
| 35 |
35 |
{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}} |
| 36 |
36 |
1. Использование (если в ОС образа контейнера отсутствует **paxrat**) устаревших утилит **paxctl** и/или **chpax**; |
| 37 |
|
-1. Запуск контейнера в контексте безопасности **NESS**, отключающем механизмы [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита памяти.WebHome]]. |
|
38 |
+1. Запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**. |
| 38 |
38 |
КАК? |
| 39 |
|
-1. Запуск **всех** контейнеров с контекстом, отключающим механизмы [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита памяти.WebHome]]. |
|
40 |
+1. Запуск **всех** контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**. |
| 40 |
40 |
Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать: |
| 41 |
41 |
{{code language="bash"}}NESSCTX=t=30,50{{/code}} |
| 42 |
42 |
И перечитать конфигурацию, перезапустить [[docker>>https://ru.wikipedia.org/wiki/Docker]]. |
