<< Click to Display Table of Contents >> Администрирование (Linux) > Обновление системы Запуск Docker и контейнеров в режиме Rootless |
В версии 4.7 добавлена поддержка запуска Docker в режиме Rootless. Он позволяет безопасно запускать службу Docker, так как для этого используется учетная запись без привилегий суперпользователя, она не имеет доступа к системным ресурсам. Дополнительно в этом режиме можно запускать и сами службы внутри контейнеров от учетных записей без привилегий root. Таким образом, администратор сможет отследить, кто менял данные в системе, и вовремя принять меры для обеспечения безопасности.
По умолчанию служба Docker запускается от учетной записи с правами суперпользователя. Чтобы перевести работу Docker в режим Rootless:
1.Создайте пользователя, от которого будет запускаться cлужба Docker, и установите пакет docker-engine-rootless. Подробнее см. в разделе «Установка Docker в режиме Rootless».
2.Проверьте, что у пользователя есть права:
•чтение и запись в папку с Directum Launcher и вложенные в нее папки;
•запись в домашнюю папку (home);
•чтение и запись в папки, в которых находятся папки с лог-файлами и со статус-файлами;
•чтение и запись в папку сервиса хранилищ, сервиса хранения файлов предпросмотра и другие папки, путь до которых задается в конфигурационном файле config.yml;
•полные права на файлы сертификатов.
3.В конфигураторе Directum Launcher в секции Переменные (variables) добавьте переменную is_rootless и установите для нее флажок (true), чтобы включить использование режима работы без привилегий суперпользователя. По умолчанию флажок снят (false).
4.Для дополнительной безопасности рекомендуется настроить запуск служб внутри контейнеров от учетных записей без привилегий суперпользователя. Для этого в Directum Launcher во встроенном редакторе YAML добавьте параметр CONTAINER_BUILD_ARG. Подробнее см. в разделе «Запуск контейнеров без привилегий суперпользователя».
© Компания Directum, 2024 |