非root用户使用podman容器

已于 2023-01-28 11:06:27 修改
阅读量2.2k 收藏 4
点赞数 2
分类专栏: 容器 文章标签: 容器 podman 非root
于 2021-11-02 20:25:59 首次发布
《署名-非商业性使用-禁止演绎 4.0 国际》许可协议 https://creativecommons.org/licenses/by-nc-nd/4.0/
本文链接:https://blog.csdn.net/omaidb/article/details/121107726
版权

非root用户使用podman容器

前提条件

podman如果要使用普通用户,shell不能是nologin。
必须要有ssh或者终端登录。


创建一个普通用户

# 创建普通权限新用户devops
[cesu-c8 root ~]# useradd devops

# 给devops用户设置密码
[cesu-c8 root ~]# echo devops|passwd --stdin devops 
Changing password for user devops.
passwd: all authentication tokens updated successfully.

# 使用devops用户ssh登录到主机
ssh devops@podmanhost

查看镜像

root下已经使用podman拉取了httpd镜像,在devops用户下是看不到root拉取到镜像的。

# 使用devops用户查看镜像,发现没有镜像
[cesu-c8 devops ~]$ podman images
REPOSITORY  TAG         IMAGE ID    CREATED     SIZE

查看podman的数据目录

# 查看当前用户的podman配置文件路径
[cesu-c8 devops ~]$ podman info|grep -E 'configFile|graphRoot|volumePath'
  configFile: /home/devops/.config/containers/storage.conf
  graphRoot: /home/devops/.local/share/containers/storage
  volumePath: /home/devops/.local/share/containers/storage/volumes

使用devops拉取httpd镜像

# 使用devops用户拉取httpd镜像
[cesu-c8 devops ~]$ podman pull httpd

# 查看devops用户拉取的镜像列表
[cesu-c8 devops ~]$ podman images
REPOSITORY               TAG         IMAGE ID      CREATED      SIZE
docker.io/library/httpd  latest      1132a4fc88fa  11 days ago  148 MB

# 查看httpd镜像的镜像id
[cesu-c8 devops ~]$ podman images -q
1132a4fc88fa

# 根据镜像id查看httpd镜像的存储目录
[cesu-c8 devops ~]$ locate -b /home/ 1132a4fc88fa
/home/devops/.local/share/containers/storage/overlay-images/1132a4fc88faaf5c19959f03535c1356d3004ced1978cb9c3f32e73d9c139532

启动一个容器

非root用户只能映射1024以上的端口,1024以下的端口只能root用户映射。

# 容器名httpdtest,映射到本地81端口,目录挂载到/web
[cesu-c8 devops ~]$ podman run --name httpdtest -dti -p 1081:80 -v ~/web:/usr/local/apache2/htdocs httpd
da3f671d340d4972c848e2de3b085e15f9f7da7b342e9c0fa586aefb21877183

# 给~/web目录下添加一个index.html文件
[cesu-c8 devops ~]$ echo "端口是通的">>~/web/index.html
[cesu-c8 devops ~]$ cat web/index.html 
端口是通的

# 查看容器
[cesu-c8 devops ~]$ podman ps
CONTAINER ID  IMAGE                           COMMAND           CREATED        STATUS            PORTS                 NAMES
da3f671d340d  docker.io/library/httpd:latest  httpd-foreground  4 seconds ago  Up 4 seconds ago  0.0.0.0:1081->80/tcp  httpdtest

# 查看httpd服务是否正常
[cesu-c8 devops ~]$ curl localhost:1081
端口是通的

非根用户容器开机自启


创建普通用户的systemd目录

# 创建~/.config/systemd/user目录来存放service文件
mkdir ~/.config/systemd/user -p

给容器创建自启动service文件

# 给容器创建service文件
podman generate systemd -n --new -f httpdtest

将容器自启动service文件移动到用户的systemd目录

# 将service文件移动到普通用户的systemd目录~/.config/systemd/user/
[cesu-c8 devops ~]$ mv container-httpdtest.service ~/.config/systemd/user/

修复容器自启动service文件的SELinux安全上下文

系统如果开启了SELinux,需要修复下SELinux安全上下文

# 如果开启了SELinux,需要修复service文件的SELinux安全上下文
[cesu-c8 devops ~]$ restorecon -RvF ~/.config/systemd/user/container-httpdtest.service

查看用户的systemd权限


查看当前用户是否拥有执行systemd的权限
# 查看当前用户是否拥有执行systemd的权限
[cesu-c8 devops ~]$ loginctl
SESSION  UID USER   SEAT TTY     
      9    0 root

查看哪些用户可以执行systemd
# 查看哪些用户可以执行systemd
[cesu-c8 devops ~]$ loginctl list-users 
 UID USER  
   0 root  
1001 devops
2 users listed.

查看当前用户的systemd配置信息
# 查看当前用户的systemd配置信息
[cesu-c8 devops ~]$ loginctl show-user
EnableWallMessages=no
NAutoVTs=6
KillUserProcesses=no
RebootToFirmwareSetup=no
IdleHint=no
IdleSinceHint=0
IdleSinceHintMonotonic=0
DelayInhibited=sleep
InhibitDelayMaxUSec=5s
HandlePowerKey=poweroff
HandleSuspendKey=suspend
HandleHibernateKey=hibernate
HandleLidSwitch=suspend
HandleLidSwitchDocked=ignore
HoldoffTimeoutUSec=30s
IdleAction=ignore
IdleActionUSec=30min
PreparingForShutdown=no
PreparingForSleep=no
Docked=yes
RemoveIPC=no
RuntimeDirectorySize=79671296
InhibitorsMax=8192
NCurrentInhibitors=1
SessionsMax=8192
NCurrentSessions=2

开启当前用户的systemd权限

如果用户没有systemd权限,需要执行这个命令开启systemd权限,
否则做的systemd操作是不会生效的

loginctl enable-linger

查看用户的systemd的权限
[cesu-c8 devops ~]$ loginctl user-status devops 
devops (1001)
           Since: Tue 2021-11-02 19:58:07 CST; 1h 37min ago
           State: active
        Sessions: *7

以普通用户执行systemd开机自启容器

# 普通用户执行systemd重新加载systemd配置
systemctl --user daemon-reload

# 普通用户设置service文件开机自启
[cesu-c8 devops ~]$ systemctl --user enable --now container-httpdtest.service

# 查看容器自启动服务状态
[cesu-c8 devops ~]$ systemctl --user status container-httpdtest.service
container-httpdtest.service - Podman container-httpdtest.service
   Loaded: loaded (/home/devops/.config/systemd/user/container-httpdtest.service; enabled; vendor preset: enabled)
   Active: active (running) since Tue 2021-11-02 21:47:44 CST; 2s ago
     Docs: man:podman-generate-systemd(1)
  Process: 4418 ExecStart=/usr/bin/podman run --conmon-pidfile /run/user/1001/container-httpdtest.pid --cidfile /run/user/1001/container-httpdtest.ctr-id --cgroups=no-conmon --replace --name h>
  Process: 4416 ExecStartPre=/bin/rm -f /run/user/1001/container-httpdtest.pid /run/user/1001/container-httpdtest.ctr-id (code=exited, status=0/SUCCESS)
 Main PID: 4471 (conmon)

重启

# 切换到root下执行reboot

查看容器是否自动运行

# 查看systemd的服务状态
[cesu-c8 devops ~]$ systemctl --user status container-httpdtest.service 
● container-httpdtest.service - Podman container-httpdtest.service
   Loaded: loaded (/home/devops/.config/systemd/user/container-httpdtest.service; enabled; vendor preset: enabled)
   Active: active (running) since Tue 2021-11-02 21:55:10 CST; 7s ago
     Docs: man:podman-generate-systemd(1)

# 查看容器状态是否在运行
[cesu-c8 devops ~]$ podman ps
CONTAINER ID  IMAGE                           COMMAND           CREATED         STATUS             PORTS                 NAMES
3f1d855dd9dc  docker.io/library/httpd:latest  httpd-foreground  22 seconds ago  Up 23 seconds ago  0.0.0.0:1081->80/tcp  httpdtest

# 验证服务服务是否可以访问
[cesu-c8 devops ~]$ curl localhost:1081
端口是通的
识途老码
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
在docker容器使用root用户执行脚本操作
01-20
应用容器化之后,在docker容器启动时,默认使用的是root用户执行命令,因此容器中的应用默认都是使用root用户来运行的,存在很高的安全风险,那么如何能够使用root的业务用户来运行应用呢, 下面我将举一个简单的...
podman用户操作实例
退!退!的博客
08-18 372
podman用户操作实例
安卓端免root免内核编译运行容器&udocker基本使用教程【nethunter】【termux】【docker替代方案】【udocker】
TangYuanMaster's Blog
01-24 3600
​​​​​​1.前言 这是我写的第一篇文章也是国内目前唯一一篇完整的udocker安装,使用和绕坑教程~如有一些地方写得不好还望社区中的各位大佬小白体谅~下面就由汤圆我来给大家介绍Udocker..... 2.简介 Udocker: 一个基本的用户工具,可以在批处理或交互式系统中执行简单的docker容器,而无需root权限和docker,具有依赖少,本地文件,无需root的特点 3.安装 3.1安装依赖 -python3/python2 -pycurl/curl -hashlib/opens
SELinux安全子系统
识途老码
09-06 2095
SELinux安全子系统
Podman应用
weixin_57691077的博客
08-13 426
Podman使用 拉取镜像 [root@localhost ~]# podman pull nginx Resolving "nginx" using unqualified-search registries (/etc/containers/registries.conf) Trying to pull docker.io/library/nginx:latest... Getting image source signatures Copying blob c90b090c213b done Co
linux命令之restorecon
qq_41734310的博客
07-29 770
语法格式:restorecon [参数] 文件或目录名。restorecon命令 – 恢复文件安全上下文。-o 将设置失败的文件名列表写入到文件。-F 强制恢复文件安全策略而不询问。-R 递归处理所有子文件。-v 显示执行过程详细信息。-e 设置要排除的目录。-f 设置要处理的文件。-i 忽略不存在的文件。-n 不改变文件标签。
docker容器中切换用户,提示权限不足的解决
01-20
linux下安装docker默认会安装为名为docker的用户才能运行的权限,使用时需要切换用户,很不方便 为了直接使用命令,需要将当前用户加入docker组 sudo usermod -aG docker your_username 重启生效! 以上这篇docker...
homeassistant-docker-venv:使用官方Docker映像以root用户身份运行Home Assistant
05-14
即使是在使用docker时,也有很多原因使人们想要以不同于root用户身份来运行 :在使用映射的卷进行配置时,您可能想在docker容器之外访问和编辑它-运行容器作为root会导致权限问题。 这也是一种安全性最佳实践,...
Docker容器中运行flume及启动不输出运行日志问题
09-30
5. **Dockerfile**:查看Dockerfile,确认所有必要的依赖项已安装,如Java运行时环境(在这个例子中是JDK 8)。同时,确保在启动Flume前设置好环境变量,例如JAVA_HOME。 6. **容器日志截断**:Docker默认可能限制...
Docker容器&镜像使用
01-18
镜像是容器的模板,包含了容器运行所需的环境和依赖项。本文将详细介绍 Docker 容器与镜像的使用方法,包括获取镜像、启动容器、停止容器、导入和导出容器等操作。 获取镜像 使用 `docker pull` 命令可以获取指定...
Linux常用命令——restorecon命令
AI的博客
01-30 924
使用restorecon来恢复网页主目录中所有文件的SELinux配置信息(如果目标为一个目录,可以添加-R参数递归)中,但是在浏览器中却打不开这个文件,这很可能是因为这个文件的SELinux配置信息是继承原来那个目录的,与。,我们经常遇到这样的问题,在其他目录中创建了一个网页文件,然后用mv移动到网页默认目录。使用CentOS举例,如果默认没有安装apache,确保网络连接,使用下面的命令安装。使用ls -Z也可以看出,文件和目录的SELinux信息不匹配。恢复文件的安全上下文。
podman安装和普通用户使用podman的方式及podman常用命令
满堂花醉三千客,一剑霜寒十四州
12-14 5193
@ [toc] 什么是podman? Podman 是一个无守护进程的容器引擎,用于在 Linux 系统上开发、管理和运行 OCI 容器容器可以以 root 或无根模式运行。简单地说:别名 docker=podman。 Podman 是一个开源项目,可在大多数 Linux 平台上使用并驻留在GitHub 上。Podman 是一个无守护进程的容器引擎,用于在 Linux 系统上开发、管理和运行 Open Container Initiative (OCI) 容器容器映像。Podman 提供了一个与 Doc
Podman安装与使用
m0_66570838的博客
09-05 1167
本文主要讲解了podman的安装过程
restorecon 命令使用实例
u014389734的博客
01-22 3989
当你将自定义文件添加到已经由SELinux策略管理的目录中时,如果自定义文件没有适当的SELinux上下文,那么将不会得到预期的结果。restorerecon命令的意思是恢复SELinux上下文。restorecon命令将文件和目录的SELinux安全上下文重置为默认值。这只会重置SELinux上下文的类型属性。 1.恢复文件的SELinux上下文 在以下示例中,index.html文件在SELinux上下文中具有“user_home_t”上下文类型。这个上下文类型,apache服务将无法访问。
RHCSA8 - 配置SELinux(Web服务的基本配置)
m0_64483960的博客
05-16 543
RHCSA8 - 配置SELinux(Web服务的基本配置)
Podman安装与运用
m0_52091913的博客
08-14 994
Podman安装与运用,用户登录,镜像下载与上传
Podman入门全指南:安装、配置与运行容器
最新发布
todoitbo的博客
04-28 7757
本文将深入浅出地介绍Podman的搭建与基础使用方法,目标是帮助读者理解Podman作为一种容器管理工具与Docker的不同之处,并教会读者如何从安装到运行自己的容器应用。全文将详细讲解Podman的安装过程,配置步骤,以及如何通过命令行管理和运行容器。此外,文章还将探讨Podman的一些高级特性,如构建容器镜像、网络配置和资源限制,以使读者能够充分利用Podman在开发和生产环境中的潜力。
podman详解
weixin_38650077的博客
02-04 1303
Podman 是一个开源项目,用于开发、管理和运行容器容器镜像。它与 Docker 常相似,但有一些关键的不同之处。:不同于 Docker,Podman 不需要运行一个永久的守护进程。这使得 Podman 更符合 “一个进程,一个容器” 的哲学,也减少了潜在的安全风险。:Podman 可以允许 root 用户运行容器。这意味着你不需要 root 权限或使用 sudo 命令就可以运行 Podman。
什么是restorecon -Rv
m0_49190412的博客
12-02 1689
restorecon:恢复为原来的 SELinux Type 参数: -R:连同子目录一起修改 -v:将过程显示到屏幕上
Root用户启动docker容器
06-10
可以通过在Root用户的账户中添加到docker用户组来启动docker容器。具体步骤如下: 1. 添加docker用户组 ``` sudo groupadd docker ``` 2. 将当前用户添加到docker用户组 ``` sudo gpasswd -a ${USER} docker ``` 3. 重新登录当前用户 4. 验证当前用户是否已经加入docker用户组 ``` docker info ``` 5. 启动docker容器 ``` docker run [OPTIONS] IMAGE [COMMAND] [ARG...] ``` 需要注意的是,Root用户启动容器时,容器内的进程将以该用户的身份运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

识途老码

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值