Podmanに0600権限を持つファイルをマウントする

Question

最近私が学んだ教訓のいくつかを共有しましょう。私は専門家ではありません。私はあなたが何をすべきかを提案することはできませんが、--privilegedpodmanを使用して実行するときに何が起こるかを説明しようとすることができます:z。たぶんあなたはすでにこれを知っているでしょう。

私はあなたがpodmanルートなしで、podman -vすなわちsudo podman -v。また、~/.secrets/clodflareあなたが所有しており、UIDは1000。

あなたの場合、既存のUnix権限（0600または-rw-------）とSELinux（container_file_t、、user_home_t:などfusefs_t）の2つの権限問題があります。

UNIX権限
- コンテナ内では、ファイル/フォルダは次のようrootになります。
- コンテナのプロセスがによって実行されると、ホストはユーザーによってroot実行されます。したがって、rw-そのフォルダ/ファイルに対する権限があります。私はこれがあなたの場合だと思います。--privileged助けとは何の関係もありません:z。
- コンテナのプロセスが他のユーザー（UIDなど）によって実行されている場合、ホストシステムはUID（デフォルトでは設定に従って）を使用する1234ユーザーによって実行されます。したがって、そのファイルに対してのみ権限があります。コンテナ内（またはホスト）内で所有権を変更するには、たとえば、またはを実行できます。しかし、私はこれがあなたに当てはまらないと思います。101233/etc/subid---1234101233podman unshare chown -R 1234:1234 <path>sudo chown -R 101234:101234 <path>
- ホスト上のファイルがあなたの所有者ではない場合、コンテナはその設定に従って他の人の所有者になります/etc/subid。
- Googleを検索すると、このトピックに関する詳細情報を見つけることができますpodman namespace。
SELinux
- SELinux 対応ホストには SELinux 分離の問題がまだ存在します。
- を使用して--privilegedSELinuxの分離などを無効にできます。ただし、ファイル/フォルダのラベルを再指定することはありません。 Podmanを実行するたびに、次のように実行する必要がありますpodman -v <host-path>:<container-path> --previleged <image>。
- を追加すると、:zPodmanがファイル/フォルダのラベルを再割り当てできるようになります。君はこれだけすればいい一度。ls -Zファイル/フォルダリストを使用すると、前後の違いを確認できますls -Zd。ファイルまたはフォルダのラベルが正しく再割り当てされると、次回はなしでpodman -v <host-path>:<container-path> <image>実行できます。:z--privileged
- この問題は私が理解するには複雑すぎるので、より詳細に説明することはできません。の説明がpodman runあるマニュアルページが役に立ちます。--privileged-v-security-opt

Answer 1

最近私が学んだ教訓のいくつかを共有しましょう。私は専門家ではありません。私はあなたが何をすべきかを提案することはできませんが、--privilegedpodmanを使用して実行するときに何が起こるかを説明しようとすることができます:z。たぶんあなたはすでにこれを知っているでしょう。

私はあなたがpodmanルートなしで、podman -vすなわちsudo podman -v。また、~/.secrets/clodflareあなたが所有しており、UIDは1000。

あなたの場合、既存のUnix権限（0600または-rw-------）とSELinux（container_file_t、、user_home_t:などfusefs_t）の2つの権限問題があります。

UNIX権限
- コンテナ内では、ファイル/フォルダは次のようrootになります。
- コンテナのプロセスがによって実行されると、ホストはユーザーによってroot実行されます。したがって、rw-そのフォルダ/ファイルに対する権限があります。私はこれがあなたの場合だと思います。--privileged助けとは何の関係もありません:z。
- コンテナのプロセスが他のユーザー（UIDなど）によって実行されている場合、ホストシステムはUID（デフォルトでは設定に従って）を使用する1234ユーザーによって実行されます。したがって、そのファイルに対してのみ権限があります。コンテナ内（またはホスト）内で所有権を変更するには、たとえば、またはを実行できます。しかし、私はこれがあなたに当てはまらないと思います。101233/etc/subid---1234101233podman unshare chown -R 1234:1234 <path>sudo chown -R 101234:101234 <path>
- ホスト上のファイルがあなたの所有者ではない場合、コンテナはその設定に従って他の人の所有者になります/etc/subid。
- Googleを検索すると、このトピックに関する詳細情報を見つけることができますpodman namespace。
SELinux
- SELinux 対応ホストには SELinux 分離の問題がまだ存在します。
- を使用して--privilegedSELinuxの分離などを無効にできます。ただし、ファイル/フォルダのラベルを再指定することはありません。 Podmanを実行するたびに、次のように実行する必要がありますpodman -v <host-path>:<container-path> --previleged <image>。
- を追加すると、:zPodmanがファイル/フォルダのラベルを再割り当てできるようになります。君はこれだけすればいい一度。ls -Zファイル/フォルダリストを使用すると、前後の違いを確認できますls -Zd。ファイルまたはフォルダのラベルが正しく再割り当てされると、次回はなしでpodman -v <host-path>:<container-path> <image>実行できます。:z--privileged
- この問題は私が理解するには複雑すぎるので、より詳細に説明することはできません。の説明がpodman runあるマニュアルページが役に立ちます。--privileged-v-security-opt

Podmanに0600権限を持つファイルをマウントする

ベストアンサー1

おすすめ記事