linux指定用户安装,linux – 在特定的用户命名空间配置中运行...

最新推荐文章于 2023-09-18 10:09:42 发布
最新推荐文章于 2023-09-18 10:09:42 发布
阅读量196 收藏
点赞数
文章标签: linux指定用户安装

问题:

我试图以这种方式挂载目录作为Docker卷,

在容器内创建的用户可以写入

到该卷的文件中.同时,该文件应该

对容器外的用户lape至少是可读的.

本质上,我需要将用户UID从容器用户命名空间重新映射到主机用户命名空间上的特定UID.

我怎样才能做到这一点?

我更喜欢以下答案:

>不要涉及改变Docker守护进程的运行方式;

>并允许分别为每个容器配置容器用户命名空间;

>不要求重建图像;

>我会接受使用Access Control Lists显示一个很好的解决方案的答案;

建立:

这就是情况的复制方式.

我有我的Linux用户lape,分配给docker组,所以我

可以运行Docker容器而不是root.

lape@localhost ~ $id

uid=1000(lape) gid=1000(lape) groups=1000(lape),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),121(lpadmin),131(sambashare),999(docker)

Dockerfile:

FROM alpine

RUN apk add --update su-exec && rm -rf /var/cache/apk/*

# I create a user inside the image which i want to be mapped to my `lape`

RUN adduser -D -u 800 -g 801 insider

VOLUME /data

COPY ./entrypoint.sh /entrypoint.sh

ENTRYPOINT ["sh", "/entrypoint.sh"]

entrypoint.sh:

#!/bin/sh

chmod 755 /data

chown insider:insider /data

# This will run as `insider`, and will touch a file to the shared volume

# (the name of the file will be current timestamp)

su-exec insider:insider sh -c 'touch /data/$(date +%s)'

# Show permissions of created files

ls -las /data

一旦构建:

docker build -t nstest

我运行容器:

docker run --rm -v $(pwd)/data:/data nstest

输出如下:

total 8

4 drwxr-xr-x 2 insider insider 4096 Aug 26 08:44 .

4 drwxr-xr-x 31 root root 4096 Aug 26 08:44 ..

0 -rw-r--r-- 1 insider insider 0 Aug 26 08:44 1503737079

所以该文件似乎是作为用户内幕创建的.

从我的主机,权限看起来像这样:

lape@localhost ~ $ls -las ./data

total 8

4 drwxr-xr-x 2 800 800 4096 Aug 26 09:44 .

4 drwxrwxr-x 3 lape lape 4096 Aug 26 09:43 ..

0 -rw-r--r-- 1 800 800 0 Aug 26 09:44 1503737079

这表明该文件属于uid = 800(即内部用户甚至不存在于Docker命名空间之外).

我尝试过的事情:

>我尝试将–user参数指定为docker run,但似乎它只能映射主机上的哪个用户映射到docker命名空间内的uid = 0(root),在我的情况下,内部人员不是root.所以它在这种情况下并没有真正起作用.

>我从容器中实现内部(uid = 800)的唯一方法是将来自主机的lape(uid = 1000)视为添加–userns-remap =“default”到dockerd启动脚本,并添加dockremap:200:100000到文件/ etc / subuid和/ etc / subgid,如documentation for –userns-remap所示.巧合的是,这对我有用,但这还不够解决,因为:

>它需要重新配置Docker守护程序的运行方式;

>需要对用户ID进行一些算术运算:’200 = 1000 – 800′,其中1000是我的用户在主机上的UID,800是UID是内部用户;

>如果内部用户需要比我的主机用户更高的UID,那甚至都行不通;

>它只能配置全局映射用户命名空间的方式,而无法为每个容器配置唯一配置;

>这种解决方案有点工作,但实际使用有点太难看了.

宽客之家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux命名空间
weixin_44390164的博客
08-12 990
PID命名空间(PID Namespaces)是Linux命名空间的一种类型,用于隔离进程ID空间。这意味着在各个PID命名空间,进程ID是唯一且独立的。每个新的PID命名空间都有自己的PID为1的进程,该进程是命名空间内的所有其他进程的祖先。当我们创建新的PID命名空间(例如在创建新的容器时),这实际上会生成一个新的进程ID空间,其的进程将为其当前命名空间分配一个新的、唯一的PID。同样一个进程在其父命名空间也有一个唯一的PID。这样就允许在单系统并行运行多个相同PID的进程,
linux环境maven的安装配置.zip
11-02
Linux环境安装配置Maven是一项关键的任务,特别是在开发Java项目时。Maven是一个流行的构建自动化工具,它简化了项目的构建、依赖管理和项目信息管理。本文将深入探讨如何在Linux系统上安装Maven,以及如何对...
linux系统只给某个用户安装软件
m0_43406494的博客
09-05 1861
拿到一个python可执行包解压好,然后修改当前用户的.bashrc文件,让python命令指向自定义的python可执行文件,而不是系统的python可执行文件。因为经常需要操作线上的服务器,有些命令使用公共的版本可能会遇到一些问题,如服务器python3版本为3.5,调用re库时容易出错,这个问题在3.6版本就修复了。当然如果要实现test用户使用python3就执行自定义版本也是可以的,把那个软连接python3改成指向python3.6,而不是系统的版本就行。
linux为某个用户安装程序
qq_21280629的博客
12-11 869
这里写自定ui义目录标题 原文: https://unix.stackexchange.com/questions/42567/how-to-install-program-locally-without-sudo-privileges 需要从源码编译. apt-get source PACKAGE ./configure --prefix=$HOME/myapps make make insta...
Linux 命名空间
weixin_34235457的博客
08-15 160
linux命名空间主要提供一种轻量级的资源虚拟,可以从不同方面来查看系统的全局属性,不同命名空间可以互相不干扰,为进程的一部分嗯。例如:同一个进程pid,可以被多个进程共享使用,可以查看同一用户的所有资源消费情况等等。 总体定义 定义如下: struct nsproxy { atomit_t count;//指向同一个nsproxy的进程个数 struct uts...
linux namespace 与 用户,Linux Namespace(命名空间)简介
weixin_39557373的博客
05-02 427
Mount Namespace隔离了一组进程所看到的文件系统挂载点的集合,因此,在不同Mount Namespace的进程看到的文件系统层次结构也不同。UTS Namespace隔离了uname()系统调用返回的两个系统标示符nodename和domainname,在容器的上下文,UTS Namespace允许每个容器拥有自己的hostname和NIS domain name,这对于初始化和配置...
如何在Linux安装Oracle8.1.7.pdf
09-07
安装过程可能需要临时更改系统的glibc,将`/usr/i386-glibc21-linux/bin/i386-glibc21-linux`添加到动态链接器路径,以适应Oracle的运行需求。 8. **安装Oracle数据库软件**: 使用`runInstaller`脚本从...
jdk_linux_1.6.0_24_tar版.rar
10-10
本文将详细介绍JDK1.6 Tar.GZ版本的特点、安装过程以及在Linux系统的应用。 首先,"tar.gz"是一种常见的文件打包和压缩格式,由"tar"工具进行文件打包,再通过"gzip"工具进行压缩。这种格式在Linux环境尤为常见...
Linux教程第四版课后习题2.pdf
07-13
2.4 在Linux,文件是存储数据的命名实体。主要的文件类型包括: - 普通文件:包含文本或二进制数据。 - 目录文件:用于组织文件和子目录的结构。 - 设备文件:用于访问硬件设备。 - 符号链接文件:类似于Windows...
VS2017下开发Linux的环境配置.zip
最新发布
02-10
在本文,我们将深入探讨如何在Visual Studio 2017环境下进行嵌入式Linux开发。Visual Studio 2017引入了一项新特性,即支持跨平台开发,包括Linux系统。这对于Windows上的开发者来说是一个巨大的进步,因为它允许...
一文读懂 | Linux 网络命名空间
flynetcn的专栏
10-15 777
1 前景回顾 1.1 Linux网络 Linux是因特网的产物, 这是无可争议的. 首先, 得感谢因特网通信, Linux的开发过程证明了一个很多人曾持有的观点是荒谬的 : 对分散在世界各地的一组程序员进行项目管理是不可能的. 第一个内核源代码版本是在十多年前通过FTP服务器提供的, 此后网络便成了数据交换的支柱, 无论是概念和代码的开发, 还是内核错误的消除, 都是如此. 内核邮件列表是个活生生的例子, 它几乎没有改变过. 每个人都能够看到最新贡献的代码, 并为促进Linux的开发提出自己的意见,.
linux命名空间(namespace)学习(二)
weixin_37867857的博客
12-08 2487
Linux的UTS命名空间 在上一篇博客里面介绍了Linux命名空间的使用,本博客更新的博客更新下关于linuxUTS命名空间的介绍以及使用方式; UTS命名空间,是关于linux主机命名或者内核版本命名的一套命名空间,在此命名空间用户感知的是一个单独命名的的linux主机名称,注意:仅仅是主机名称,如果没有结合其他命名空间操作的话,用户是感知不到一个单独的主机名称的; 一下是我学习linux...
linux命名空间及底层原理的简单释义
weixin_51460943的博客
09-18 656
Linux命名空间Linux Namespaces)是Linux内核提供的一种隔离机制,用于将系统资源(如进程、网络、文件系统、用户等)隔离成不同的视图,使得不同的进程组在不同的命名空间具有独立的资源视图。2、目录结构的虚拟化:文件系统命名空间通过虚拟化技术将物理文件系统的目录结构映射到逻辑上的命名空间,使得用户可以以更直观的方式来访问和管理文件和目录。5、网络命名空间的父子关系:每个网络命名空间都有一个父进程,默认情况下,一个进程所属的网络命名空间是其父进程的子命名空间
linux如何把一个空间分配给用户,linux 新建用户用户组 以及为新用户分配权限的基本操作...
weixin_35587255的博客
04-29 1287
分享下Linux系统创建用户、设置密码、修改用户、删除用户的命令;创建用户:useradd testuser 创建用户testuser设置密码:passwd testuser 给已创建的用户testuser设置密码说明:新创建的用户会在/home下创建一个用户目录testuser修改用户:usermod --help 修改用户这个命令的相关参数删除用户:userdel testuser ...
linux命名空间(namespace)学习(一)
weixin_37867857的博客
12-05 5348
关于linux命名空间网络上有很多是关于docker 的,也有关于linux的专门的linux的namespace介绍的,没有专门介绍Linux命名空间的应用的。所以我想先介绍一下linux命名空间的应用,然后再介绍linux内核对于命名空间的管理方式。好了,废话不多说先上原理吧。 命名空间linux是实现资源隔离的一种手段,也是轻量级虚拟化的一种手段。可以实现多个用户,也可以实现多个网络设备...
java 配置文件 命名空间_命名空间配置_Spring Security 4官方文档文翻译与源码解读教程_田守枝Java技术博客...
weixin_42467224的博客
02-26 79
Spring框架2.0版本开始就已经支持命名空间配置。这允许你在spring bean配置文件使用由附加的xml schema文件定义的元素。你可以从Spring参考文档查看更多的信息。位于某个命名空间的元素可以允许我们通过更加简洁的方式来配置个别Bean,更有用的是,可以定义更加符合某个问题领域的配置语法,对用户隐藏底层实现的复杂性。一个简单的元素可能隐含的意味着大量的Bean和处理步骤...
打开云原生大门:了解Linux命名空间的奥秘和Docker容器隔离技术
Lion_Long的博客
12-06 3357
一、根目录RootFs概述。 二、Linux Namespace:进程命名空间、lsns 命令、查看元祖进程命名空间、查看当前用户进程命名空间。容器进程命名空间、查看容器进程命名空间列表、修改容器命名空间、容器进程命名空间的具体体现。 docker使用的隔离机制就是进程的隔离机制。 docker不是虚拟机,他就是一个进程,容器隔离使用的就是进程命名隔离机制。
Linux ns 1. User Namespace 详解
pwl999的博客
03-24 2828
文章目录1. 简介2. user namespace的创建2.1 原理介绍2.2 操作实例2.3 代码分析3. `uid/gid`隔离3.1 原理介绍3.2 操作实例3.3 代码分析3.2.1 map_write()3.2.2 getuid()3.2.3 stat64()3.2.4 acl_permission_check()4. `capability`隔离4.1 原理介绍4.2 操作实例4.3 代码分析4.3.1 ns_capable()4.3.2 cap_bprm_set_creds()参考文档: 1
linux user namespace 和cgroup
inquisiter
03-02 561
makenod 创建设备文件 应用程序与系统驱动交互的文件间形式,体现了linux一切皆文件的思想。 mknod 的标准形式为: mknod DEVNAME {b | c} MAJOR MINOR 1,DEVNAME是要创建的设备文件名,如果想将设备文件放在一个特定的文件夹下,就需要先用mkdir在dev目录下新建一个目录; 2, b和c 分别表示块设备和字符设备: b表...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值