Docker в Astra Linux как обойти проверку на уязвимости

Введение

При использовании контейнеров AstraLinux1.7:latest в версии AstraLinux 1.8.2 можно столкнуться с ошибками:

Sending build context to Docker daemon 7.139MB

Step 1/8 : FROM registry.astralinux.ru/library/astra/ubi17:latest

latest: Pulling from library/astra/ubi17

07b7055d0d4a: Extracting [==================================================>] 40.11MB/40.11MB

failed to register layer: directory '/var/lib/docker/overlay2/1471fddc5e59346d1a7700eecf622048521b268d0ac0880b4c4b684a6e6885df/diff' contains vulnerabilities! [{oval:astra:def:998211469985311911975469512480323 true Astra Linux - уязвимость в krb5 } {oval:astra:def:998132550094159282885445873391171 true Astra Linux - уязвимость в krb5 } {oval:astra:def:977929060381660241551522261194307 true Astra Linux - уязвимость в krb5 } {oval:astra:def:4531229522001128947937725208131 true Astra Linux - уязвимость в openssl } {oval:astra:def:4454479638527608668673748063811 true Astra Linux - уязвимость в curl }
...
{oval:astra:def:3898339921026663004431305758275 true Astra Linux - уязвимость в openssl } {oval:astra:def:1099622894188402609980812330096195 true Astra Linux - уязвимость в openssl } {oval:astra:def:1079025744379114096177987495220803 true Astra Linux - уязвимость в gnutls28 } {oval:astra:def:1058743334775462425754040243934787 true Astra Linux - уязвимость в gnutls28 } {oval:astra:def:1018414959697810953309393124677187 true Astra Linux - уязвимость в krb5 }]. Image: 1471fddc5e59346d1a7700eecf622048521b268d0ac0880b4c4b684a6e6885df

Причина

Проблема в том что с версии AstraLinux 1.7.5 был добавлен сканер уязвимостей OpenSCAP, проверяющий уязвимости по базе oval-db. Сканер включен по умолчанию, и запрещает дальнейшее использование контейнера при обнаружении уязвимости.

Обход проверки уязвимостей

Создать или открыть файл:

/etc/docker/daemon.json

на чистой системе его как и папки нет, поэтому не забываем sudo mkdir -p /etc/docker

Прописываем уровень проверки 1 - максимальный и 6 - минимальный.

• 1-5 классы защиты — при обнаружении уязвимости в контейнере его запуск блокируется;
• 6 класс защиты — отладочный режим, при обнаружении уязвимости в контейнере выводится соответствующее предупреждение, при этом запуск контейнера не блокируется.

Добавляем строчку:

{ "astra-sec-level": 6 }

Далее необходимо перезапустить Docker

sudo systemctl restart docker

Итоги

Данная проверка работает как при соборке контейнера (sudo docker build -t ... ) так и при импорте (docker load -i container.tar) при установке уровня проверки в минимальный контейнер штатно собрался, на данный момент импортировалась актуальная версия Astra Linux 1.7.7.9 UU2

Сcылки