Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 74.1
отредактировано omaltsev
на 01.10.2021 16:10
Изменить комментарий: К данной версии нет комментариев
К версии 81.1
отредактировано omaltsev
на 01.10.2021 21:10
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Родительский документ
... ... @@ -1,1 +1,1 @@
1 -Sandbox.WebHome
1 +ОСнова.Состав и ПО.WebHome
Содержимое
... ... @@ -25,7 +25,7 @@
25 25   --xattrs-include=security.NESSCTX \
26 26   -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
27 27  
28 -= Работа в условиях механизма зашиты памяти =
28 += Работа в условиях механизма зашиты памяти MPROTECT =
29 29  
30 30  В контейнерах, которые не базируется на ОС ОСнова, некоторое ПО, например [[Java>>https://ru.wikipedia.org/wiki/Java]], не будет функционировать корректно на хосте под управлением ОС ОСнова с включенными механизмами [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита памяти.WebHome]]. Существует несколько способов решения данной проблемы:
31 31  
... ... @@ -34,20 +34,12 @@
34 34  или через наложение дампа
35 35  {{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}}
36 36  1. Использование (если в ОС образа контейнера отсутствует **paxrat**) устаревших утилит **paxctl** и/или **chpax**;
37 -1. Запуск контейнера в контексте безопасности **NESS**, отключающем механизмы [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита памяти.WebHome]].
38 -КАК?
39 -1. Запуск **всех** контейнеров с контекстом, отключающим механизмы [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита памяти.WebHome]].
40 -Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать:
37 +1. Запуск **всех** контейнеров с контекстом, отключающим механизмы [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита памяти.WebHome]]. Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать:
41 41  {{code language="bash"}}NESSCTX=t=30,50{{/code}}
42 42  И перечитать конфигурацию, перезапустить [[docker>>https://ru.wikipedia.org/wiki/Docker]].
43 43  {{code language="bash"}}$ sudo systemctl daemon-reload
44 44  $ sudo systemctl restart docker{{/code}}
45 45  
46 -= Запуск docker-контейнера в контексте безопасности NESS =
47 -
48 -Контейнер может иметь определенный установленный контекст безопасности **NESS**, по умолчанию контекст пустой.
49 -КАК?
50 -
51 51  = Создание docker-образа на базе ОС ОСнова =
52 52  
53 53  Для создания [[docker>>https://ru.wikipedia.org/wiki/Docker]]-образа на базе ОС ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).