Docker

Главной особенностью Docker в ОСнова является то, что контейнер работает в режимах защиты памяти PaX MPROTECT (ели не отключено) и замкнутой программной среды (ЗПС) (если включено).

Если защита памяти PaX MPROTECT не отключена и контейнер не ОСнова, некоторое ПО работать в нем не будет. Например Java. Возможна установка paxrat или ручная разметка исключений через setfattr -n user.pax.flags -v m <filename>.

Если контейнер не ОСнова, для работы в режиме ЗПС, его содержимое должно быть подписано.

Контейнер может иметь определенный установленный контекст безопасности NESS. По умолчанию контекст пустой.

Возможен запуск всех контейнеров с контекстом, отключающим защиту памяти PaX MPROTECT.

Для этого в файле  /lib/systemd/system/docker.service в секции [Service]  дописать: