systemd-nspawn: permissões do sistema de arquivos para uma pasta ligada

Question

systemd-nspawn: permissões do sistema de arquivos para uma pasta ligada

Navegue suas respostas

#1 resposta do (0 votos)

1

O que eu tenho:

Um host do Gentoo e um container do Ubuntu.

O que eu quero:

Monte /home do host no contêiner e use-o como normal.

O que estou fazendo:

Inicie o contêiner com -U --bind=/home flags.

O que eu recebo:

No container eu tenho meu diretório /home mas ele foi montado com nobody: nogroup owner:

scratch:5:0:/home/vkirsano> ll /home 
total 24
drwxr-xr-x  3 nobody nogroup  4096 Sep 19 17:39 krokoziabla
drwx------  2 nobody nogroup 16384 Oct 20  2016 lost+found
drwxr-xr-x 56 nobody nogroup  4096 Sep 20 22:15 vkirsano

Então, efetivamente, eu só tenho acesso somente leitura ao conteúdo do diretório /home , que não é o que eu quero. Digamos, eu criei o usuário vkirsano no container com o mesmo UID: GID como no host, então eu gostaria que o systemd-nspawn apenas mantivesse as informações originais sobre a propriedade dos arquivos enquanto ligava o diretório.

O que estou pedindo

Qual é a prática usual (se houver) de montar pastas como /home mantendo a capacidade de trabalhar normalmente com elas no container?

systemd-nspawn

por krokoziabla 21.09.2017 / 10:40

1 resposta

Tags systemd-nspawn

Exibir vídeo em tela cheia de um monitor em uma janela em outro monitor tlp pára de funcionar após suspender e retomar

score 0 · Answer 1

AFAIK, -U é basicamente incompatível com rw --bind . A partir dos documentos:

Note that when this option is used in combination with --private-users, the resulting mount points will be owned by the nobody user. That's because the mount and its files and directories continue to be owned by the relevant host users and groups, which do not exist in the container, and thus show up under the wildcard UID 65534 (nobody). If such bind mounts are created, it is recommended to make them read-only, using --bind-ro=.

Eu usei o nspawn para criar contêineres baseados no Ubuntu para construir o Yocto no meu host do Arch Linux. Quando o kernel do Arch ativou CONFIG_USER_NS=y , precisei definir PrivateUsers=off em meus arquivos /etc/systemd/nspawn/foo.nspawn . (Além disso, adiciono um usuário com o mesmo UID no host e no contêiner, portanto, posso Bind= e acessá-lo da mesma maneira no contêiner e no host.)