Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 9.1
отредактировано Роман Воробьев
на 01.08.2021 01:08
Изменить комментарий: К данной версии нет комментариев
К версии 59.1
отредактировано omaltsev
на 01.10.2021 15:10
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Родительский документ
... ... @@ -1,1 +1,1 @@
1 -ОСнова.Состав и ПО.WebHome
1 +Sandbox.WebHome
Автор документа
... ... @@ -1,1 +1,1 @@
1 -XWiki.rvorobyev
1 +XWiki.omaltsev
Теги
... ... @@ -1,1 +1,1 @@
1 -Docker|pax|mprotect|ЗПС
1 +docker|pax|mprotect|ЗПС|paxrat
Содержимое
... ... @@ -1,49 +1,78 @@
1 -Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах [[защиты памяти PaX MPROTECT>>]] (ели не отключено) и [[замкнутой программной среды (ЗПС)>>]] (если включено).
1 += Установка =
2 2  
3 +{{code language="bash"}}$ sudo apt install docker.io{{/code}}
4 +Добавить пользователя в группу docker, перелогиниться.
5 +{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
3 3  
4 -Если защита памяти **PaX MPROTECT** не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename> или через chpax или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **Pax MPROTECT**.
7 += Работа в условиях ЗПС и MPROTECT =
5 5  
9 +Особенности работы Docker-контейнеров в ОС ОСнова с включенными механизмами [[защиты памяти PaX MPROTECT>>]] и/или [[замкнутой программной среды (ЗПС)>>]] состоят в следующем:
6 6  
7 -Если контейнер не ОСнова, для работы в режиме ЗПС, его содержимое должно быть подписано. Это возможно сделать через наложение дампа setfattr ~-~-restore, либо через подпись evmctl экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов, tar ~-~-xattrs-include=user.pax.flags ~-~-xattrs-include=security.ima ~-~-xattrs-include=security.NESSCTX) и импортом.
11 +Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
12 +{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
13 +либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
14 +Например, рассмотрим Alpine (выполнять при отключенной ЗПС):
15 +{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash
16 +{{code language="bash"}}
17 +В отдельной консоли:
18 +{{/code}}
19 +$ mkdir /tmp/alpine
20 +$ cd /tmp/alpine
21 +$ docker export - alpine | tar - -x
22 +$ for f in `find . -type f`
23 +do
24 +sudo evmctl -k <закрытый ключ> ima_sign $f
25 +done
26 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
27 + --xattrs-include=security.NESSCTX \
28 + -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
29 +
8 8  
31 +Если защита памяти **PaX MPROTECT** не [[отключена>>https://xn--80ahaefyxhn.xn--j1afgaq.xn--p1ai/bin/view/%D0%9E%D0%A1%D0%BD%D0%BE%D0%B2%D0%B0/%D0%A1%D0%97%D0%98/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8/]] и контейнер не базируется на ОС ОСнова, некоторое ПО, например Java, не будет функционировать корректно в контейнере.
32 +Возможна установка в контейнер **paxrat** или ручная разметка исключений через
33 +{{code language="bash"}}sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
34 +или через наложение дампа
35 +{{code language="bash"}}sudo setfattr --restore=<dump>{{/code}}
9 9  
10 -Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
37 ли ипользование (если в ОС образа отсутствует paxrat)
11 11  
12 -Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**.
39 +{{code language="none"}}
40 +paxctl
41 +{{/code}}
13 13  
14 -Для этого в файле ** /lib/systemd/system/docker.service** в секции **[Service]**  дописать:
15 -
16 -
17 17  {{code language="none"}}
18 -NESSCTX=t=30,50
44 +chpax
19 19  {{/code}}
20 20  
21 21  
22 -= Установка =
48 +или через запуск контейнера в контексте безопасности **NESS**, отключающем защиту памяти **PaX MPROTECT**.
23 23  
24 -= =
50 +Контейнер может иметь определенный установленный контекст безопасности **NESS**. По умолчанию контекст пустой.
51 +Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти **PaX MPROTECT**.
52 +Для этого в файле ** /lib/systemd/system/docker.service** в конце секции **[Service]**  дописать:
53 +{{code language="bash"}}NESSCTX=t=30,50{{/code}}
54 +И перечитать конфигурацию, перезапустить Docker.
55 +{{code language="bash"}}$ sudo systemctl daemon-reload
56 +$ sudo systemctl restart docker{{/code}}
25 25  
26 -{{code language="none"}}
27 -sudo apt install docker.io
28 -{{/code}}
29 29  
30 -Добавить пользователя в группу docker, перелогиниться.
31 31  
32 -{{code language="none"}}
33 -sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ
34 -{{/code}}
35 -
36 36  = Создание образа ОСнова =
37 37  
38 -{{code language="none"}}
39 -sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx http://ftp.ct/OSNova/testing/onyx/mounted-iso-main-disk1
62 +Для создания Docker образа ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
40 40  
41 -sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
64 +{{code language="bash"}}
65 +$ sudo apt install debootstrap
66 +$ sudo mount /dev/cdrom /mnt
67 +(или $ sudo mount -o loop onyx-Version-disk1.iso /mnt)
68 +$ mkdir /tmp/image
69 +$ cd /tmp/image
70 +$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
71 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
72 +$ sudo umount /mnt
42 42  {{/code}}
43 43  
44 44  = Тестовый запуск контейнера =
45 -
46 -
47 -{{code language="none"}}
48 -docker run -it onyx bash
76 +{{code language="bash"}}
77 +$ docker run -it --rm onyx bash
49 49  {{/code}}