ACL pode ser bem-sucedido porque faz com que os arquivos sejam compartilhados para vários usuários com base no username em vez do número userid .
Ele é convertido em número de ID do usuário dentro do atributo do arquivo.
Posso mapear container-www-data
para ter host-oli
privs no sistema de arquivos? Isso lhes daria acesso ao host? oli
não é uma conta não-representada. Pode causar danos reais.
Você pode executar o seguinte comando no host para que o usuário lxc
container www-data
possa gravar a pasta /incoming
.
$ sudo chown oli /media/steve/incoming
$ sudo setfacl -m u:www-data:rwx /media/steve/incoming
/media/steve/incoming
é vinculado a% por /incoming
do contêiner lxc
.
O proprietário de /media/steve/incoming
já é de propriedade de oli
.
Portanto, o oli
do host pode escrevê-lo diretamente e o usuário% dowww-data
do contêiner também pode escrevê-lo diretamente.
E se o comando setfacl
não existir no host, você poderá instalá-lo com o seguinte comando.
$ sudo apt-get install acl
www-data
do host e www-data
do container podem usar a diferença número do usuário , assim você pode compartilhar / media / steve / incoming para o ID do usuário www-data do Container como segue.
Primeiro, obtenha número de ID do usuário de www-data
no contêiner.
$ cat /etc/passwd | grep "^www-data:" | awk -F ":" '{print $3}'
Em seguida, ele mostrará um número se o contêiner tiver um usuário chamado www-data
, userid
of www-data
.
No segundo, defina o atributo file com acl da seguinte maneira no host.
$ sudo setfacl -m u:<got_number_above>:rwx /media/steve/incoming
Em seguida, funcionará para o contêiner.
Você pode obter mais ajuda para a ACL em FilePermissionsACLs