6. РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ ПО КОНТЕЙНЕРИЗАЦИИ
6.1. Введение
Безопасность средства контейнеризации обеспечивается использованием программного комплекса для реализации настроек функций безопасности (далее – программный комплекс).
Пользователь системы работает с Docker в непривилегированном режиме (rootless), когда экземпляр Docker запускается в контексте текущего пользователя.
Пользователю запрещается устанавливать и использовать сторонние средства для создания и установки образов контейнеров в информационной системе.
6.2. Требования к авторизации пользователя
Для работы с Docker пользователь не должен иметь права доступа суперпользователя – root,
и должен явно авторизоваться в системе (работать не через sudo).
Предупреждение
Работа через sudo – запрещена.
6.3. Настройка Docker
Для установки и настройки демона Docker выполните следующую команду:
$ dockerd-rootless-setuptool.sh install
После выполнения скрипта dockerd-rootless-setuptool.sh разработчики Docker
рекомендуют пользователям выполнить самостоятельно дополнительную настройку – добавить в файл ~/.bashrc следующие строки:
export PATH=/usr/bin:$PATH
export DOCKER_HOST=unix:///run/user/XXXX/docker.sock
Где XXXX – id пользователя.
Рекомендуется выполнить данные настройки. Для этого:
откройте в редакторе файл
~/.bashrc;скопируйте из вывода скрипта рекомендованные строки и вставьте их в файл
~/.bashrc;сохраните и закройте файл
~/.bashrc.
После выполнения скрипта dockerd-rootless-setuptool.sh требуется перезагрузить компьютер.
6.4. Запрещённые параметры при запуске контейнера Docker
Запрещается при запуске контейнеров Docker использовать следующие параметры:
--net=host– нарушение изоляции сетевого пространства;--pid=host– нарушение изоляции пространства PID;--ipc=host– нарушение изоляции пространства IPC;--device– нарушение изоляции устройств хоста и контейнера;--userns=host– нарушение изоляции пользовательских пространств имён.
При обнаружении того, что контейнер был запущен с использованием запрещённого параметра, исполнение запуска контейнера прерывается с выводом пользователю стандартного информационного сообщения ОС МСВСфера («Убито») и отправкой по электронной почте сообщений администратору и пользователю.
6.5. Обязательные параметры при запуске контейнера Docker
При запуске контейнеров Docker обязательно использовать следующие параметры:
--memory– требование всегда запускать контейнеры с ограничением по памяти;--read-only– монтирование корневой файловой системы в режиме только для чтения. При необходимости нужно явно указывать каталоги, в которые разрешена запись. Для изоляции дискового пространства также можно использовать хранилищаvolume.
При обнаружении того, что контейнер был запущен без использования обязательного параметра, исполнение запуска контейнера прерывается с выводом пользователю стандартного информационного сообщения ОС МСВСфера («Убито») и отправкой по электронной почте сообщений администратору и пользователю.
6.6. Действия при создании или добавлении образа Docker
Образ, созданный пользователем (команда docker build) и
прошедший проверку сканированием, перед использованием
должен быть подписан ЭЦП.