Оглавление |
---|
Информация | ||
---|---|---|
| ||
с подключенным компонентом astra-ce расширенного (extended) репозитория |
Аннотация
В данной статье представлена инструкция по установке системы контейнерной изоляции LXC, доступной в составе расширенного репозитория Astra Linux Special Edition x.7 (см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования).
Предупреждение | ||
---|---|---|
| ||
Программное обеспечение расширенного репозитория является сторонним по отношению к Astra Linux, не дорабатывается с точки зрения выполнения требований по безопасности информации и не проверяется при сертификации. При использовании программного обеспечения расширенного репозитория рекомендуется для дополнительной изоляции процессов осуществлять их запуск в изолированной программной среде (контейнере) [п. 7.2 РукКСЗ1]. При использовании для этих целей Docker-контейнеров их запуск целесообразно осуществлять от имени непривилегированного пользователя в rootless-режиме, а при включенном мандатном контроле целостности (МКЦ) с применением технологии запуска контейнеров на пониженном [п. 7.2.1] или выделенном [п. 7.2.7] уровне МКЦ. |
Что такое LXC
Общая информация
Раскрыть |
---|
LXC — это система контейнерной изоляции на уровне операционной системы для запуска нескольких изолированных экземпляров операционной системы на одном узле.
Известная проблема доступа к ядру ОС, когда root-пользователь LXC-контейнера может выполнить произвольный код в родительской операционной системе (за счёт того, что uid 0 внутри контейнера совпадает с uid 0 базовой системы) решена введением (в версиях LXC начиная с 1.0) «непривилегированных контейнеров», где uid 0 в контейнере соответствует непривилегированному пользователю снаружи, и имеет расширенные права только на свои ресурсы. Механизм cgroups (control group) — механизм ядра ОС, ограничивающий и изолирующий вычислительные ресурсы (процессорные, сетевые, ресурсы памяти, ресурсы ввода-вывода) для групп процессов. Механизм cgroups предоставляет единый программный интерфейс к целому спектру средств управления процессами, начиная с контроля единичного процесса, и вплоть до полной виртуализации на уровне системы LXC. Механизм cgroups предоставляет следующие возможности:
Оригинальная документация LXCОригинальная документация LXC доступна по ссылке: https://linuxcontainers.org/lxc/documentation/ |
Установка LXC
Для установки системы контейнерной изоляции LXC:
- Подключить репозитории:
- основной репозиторий и актуальное оперативное обновление основного репозитория;
- актуальное оперативное обновление базового репозитория (не требуется для установки самого lxc, однако в дальнейшем может потребоваться для создания контейнеров);
- актуальное оперативное обновление расширенного репозитория;
Обновить список пакетов:
Command sudo apt update Установить пакет lxc:
Command sudo apt install lxc lxc-astra
Подробнее про работу с LXC см.:
- Система контейнерной изоляции уровня ОС LXC;
- Запуск контейнеров LXC в непривилегированном контейнере.