Использование сертифицированного образа c10f-cert/alt на объектах КИИ

(апробация материала выполнена на ОС ALT Linux, 6.1.115-un-def-alt1).

При создании систем на объектах критической информационной инфраструктуры (КИИ) требования, предъявляемые к безопасности и импортозамещению значительно выше, чем для обычного корпоративного программного обеспечения (ПО).

Согласно официальной документации ALT Linux, реестр контейнеров registry.altlinux.org предназначен для хранения образов в формате OCI, при этом ветка c10f/ содержит образы на базе репозитория для дистрибутива «Альт СП» , что является ключевым моментом, так как «Альт СП» является специализированной платформой, разработанной с учетом требований для защищенных систем.

Ключевыми требованиями к образам для КИИ являются:

1. Полный контроль состава используемых пакетов;

2. Регулярное обновление образов для выявления и закрытия уязвимостей (все образы в реестре Base ALT автоматический проверяются на наличие уязвимостей.

Образ registry.altlinux.org/c10f/alt предоставляет собой чистую, сертифицируемую основу, которая позволяет вписаться в требования к доверенной среде.

В статье используется сертифицированный образ располагаемый:

registry.altlinux.org/c10f-cert/alt

Весь список можно посмотреть по следующему адресу https://registry.altlinux.org/explore?search=c10f-cert.

1. Подготовка инструментальных средств

Для работы с образом c10f-cert/alt нам необходимо установить docker-engine (https://www.altlinux.org/Docker), и назначить права пользователю для запуска команд docker без использования sudo:

# Выполняем установку Docker

$ sudo apt-get install docker-engine -y

# Добавляем пользователя в группу docker

$ sudo usermod -aG docker ${USER}

После добавления пользователя в группу `docker`, необходимо перелогиниться в ОС, чтобы изменения вступили в силу.

2. Запуск контейнера на базе образа c10f-cert/alt

# 2.1 Запуск контейнера с образом c10f/alt:

$ docker run -it registry.altlinux.org/c10f-cert/alt:latest /bin/bash

При отсутствии образа в локальном репозитории, он будет сначала скачан с официального репозитория registry.altlinux.org, затем запущен.

После успешного подключения к контейнеру смениться приглашение командной строки:

[root@... /]#

Для выхода из контейнера необходимо набрать `exit`, после чего приглашение командной строки смениться на хостовую систему:

[user@... docker_builds]$

Используемый образ сохраняется в локальном хранилище хоста,

$ docker images

При последующих запусках контейнера используется образ локального хранилища хоста.

3. Работа внутри контейнера

После запуска контейнера с подключение к командной строке bash:

$ docker run -it registry.altlinux.org/c10f-cert/alt:latest /bin/bash

Необходимо выполнить обновление списка доступных пакетов:

$ apt-get update

после чего возможен поиск и установка требуемых пакетов в пространство контейнера:

$ apt-cache search <package-name>

$ apt-get install <package-name>

После выполнения работ с пакетами выполняем очистку списка пакетов:

$ apt-get clean

Рассмотренный способ работы с подключением к командной строке контейнера имеет преимущество в отработке необходимых команд с дальнейшем перечислением их в Dockerfile.

Обратите внимание, что при выходе из контейнера и повторном запуске образа, его состояние будет первоначальным!, т.е. образ на базе которого запускается контейнер не хранит изменения конфигурациaи выполненных в нем при подключении к командной строке.

Для создания контейнера с предустановленным набором пакетов определенного состояния при каждом запуске, который нужен для решения конкретной задачи, необходимо создать Dockerfile, в котором базовым/родительским образом будет указан `c10f-cert/alt:latest`, на основании которого и будет создаваться docker-образ.