无根用户管理podman

最新推荐文章于 2022-08-17 11:48:52 发布
最新推荐文章于 2022-08-17 11:48:52 发布
阅读量242 收藏
点赞数
分类专栏: podman 文章标签: linux 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72435491/article/details/126376727
版权
本文详细介绍了如何让无根用户在Linux环境下安全地管理Podman,包括安装slirp4netns和fuse-overlayfs,配置subuid和subgid,启动非特权ping,以及配置用户文件如container.conf和storage.conf。同时,文章还讨论了无根用户的容器网络和卷管理,强调了用户间的隔离和端口映射的限制。
摘要由CSDN通过智能技术生成

文章目录

无根用户管理podman

在允许没有root特权的用户运行Podman之前,管理员必须安装或构建Podman并完成以下配置

cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源,如果使用cgroupV2启用了运行Podman的Linux发行版,则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroupV2,必须切换到备用OCI运行时crun。

[root@wjh ~]# vim /usr/share/containers/containers.conf
runtime = "crun"                 //取消注释并将runc改为crun

[root@wjh ~]# podman run -d --name web -p 80:80 docker.io/library/nginx
ea419d52934a8c10f6fef4780f2014ec53de4aab691850373b8eda352ae42ef1

[root@wjh ~]# podman inspect web | grep crun
          "OCIRuntime": "crun",

安装slirp4netns和fuse-overlayfs

在普通用户环境中使用Podman时,建议使用fuse-overlayfs而不是VFS文件系统,至少需要版本0.7.6。现在新版本默认就是了。

[root@wjh ~]# dnf -y install slirp4netns fuse-overlayfs		//默认已安装
[root@wjh ~]# vim /etc/containers/storage.conf 
mount_program = "/usr/bin/fuse-overlayfs"		//取消注释

subuid和 subgid配置

Podman要求运行它的用户在/ etc / subuid和/ etc / subgid文件中列出一系列UID,shadow-utils或newuid包提供这些文件

  • /etc/subuid文件格式是:USERNAME:UID:RANGE
    • 映射到podman用户名
    • 为用户分配的初始 UID
    • 为用户分配的 UID 范围的大小
[root@wjh ~]# useradd wjh
useradd: user 'wjh' already exists
[root@wjh ~]# cat /etc/subuid
wjh:100000:65536

启动非特权ping

并不是有了subuid和subgid容器就可以被无根用户使用了,还需要启动非特权ping

[root@wjh ~]# sysctl -w "net.ipv4.ping_group_range=0 200000"
net.ipv4.ping_group_range = 0 200000     *//0 200000就是从100000开始,到200000区间内的用户都可使用podman*

用户配置文件

三个主要的配置文件是container.conf、storage.conf和registries.conf。用户可以根据需要修改这些文件。

container.conf文件

容器配置文件
优先级(从上到下,由高到低)
$HOME/.config/containers/containers.conf 	//优先级最高
最低0.47元/天 解锁文章
w262
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
podman应用
B_memory的博客
08-13 219
podman基本操作 podman的操作和docker是一样的 拉取镜像 [root@host ~]# podman pull httpd Resolving "httpd" using unqualified-search registries (/etc/containers/registries.conf) Trying to pull docker.io/library/httpd:latest... Getting image source signatures Copying blob 33
使用 Bitwarden 和 Podman 管理你的密码
bluemoon_0的博客
02-13 141
使用 Bitwarden 和 Podman 管理你的密码
podman用户操作
qq_45211528的博客
08-15 437
podman用户操作
podman的使用
的博客
08-13 579
podman的使用 设置别名 [root@hzy ~]# alias alias cp='cp -i' alias docker='podman' 拉取镜像 [root@hzy ~]# docker pull nginx Resolving "nginx" using unqualified-search registries (/etc/containers/registries.conf) Trying to pull docker.io/library/nginx:latest... Getting
gpack:简单,无根的软件包管理
02-03
1. **无根操作**:由于`gpack`在用户的个人空间中管理软件,因此用户无需拥有root权限即可安装软件。这在共享环境或安全性要求较高的场景中非常有用。 2. **简洁易用**:设计上强调简洁,使得用户界面和命令行工具...
unifi-controller:Podman-compose配置,可将UniFi Controller作为无根容器运行
03-14
通过在无根容器中运行UniFi控制器,将其配置为systemd服务,并自动执行图像更新。 该项目使用提供的 映像,并使用提供的 -compose进行了最小的更改。 要求 该项目使用Podman,Python和 。 按照安装Podman。 只需安装...
Podman:用于管理 OCI 容器和 Pod 的工具-开源
07-20
Podman 是一个无守护进程的容器引擎,用于在 Linux 系统上开发、管理和运行 OCI 容器。 容器可以以 root 或无根模式运行。 Podman 是一个开源项目,可在大多数 Linux 平台上使用并驻留在 GitHub 上。 Podman 是一个...
码头无根
02-28
从sudo用户帐户创建将运行docker应用程序的docker-user应用程序帐户,我们将启用``延迟''功能,以便该帐户无需登录即可使用systemd服务:$ sudo adduser --gecos''- -disabled-password docker-user $ sudo ...
规范:无根安装程序
02-04
无根安装程序的概念意味着这些包管理器在执行任务时,尽可能避免使用管理员权限,除非绝对必要。这样可以防止恶意软件或者意外操作对系统核心组件造成破坏,并且使得普通用户也能安装和管理自己所需的软件。 GCC,...
subordinate:用于管理 subuid 和 subgid 的 Python 模块
06-03
下属 介绍 下级用户/组 id 出现在 2013 年的 Linux 内核 3.12 中。下级 id 的目标是给用户或组除了他自己的 id 之外的 id 范围。 这些额外的 id 可用于各种活动,例如运行无特权的容器。 默认情况下,分配给系统用户的范围列在/etc/subuid 中(有关组,请参阅/etc/subgid )。 每一行的格式是名称:id_first:id_count和装置,该用户/组名具有在他的处置的范围起始于id_first id_count的id。 请注意,可以给出的 id 范围有一些限制(请参阅man login.defs )。 Subordinate是一个 Python 模块,可以更轻松地在 Python 框架中处理这些 id 文件。 Subordinate模块提供了多种工具来创建和管理名称和 ID 之间的映射、读取 ID 文件并生成以直接在 GNU/Linux
无根环境中的基本设置和使用Podman
nuanchunhujian的博客
08-17 532
无根用户(普通用户)可以使用podman?如何使用?
解决 Docker 持久化数据的权限问题
封尘印的博客
03-13 3697
Docker的数据持久化即数据不随着 container 的结束而结束, 数据存在于 host 机器上: 存在于 host 的某个指定目录中(使用-v 或者--mount), 或者 docker 自己管理的 volume (Dockerfile 里面设置VOLUME, 目录在/var/lib/docker/volumes). 实际使用的时候, 会碰到文件权限的问题: 容器向挂载的目录写入数据后, ...
linux用户隔离,隔离 Docker 容器中的用户
weixin_39641386的博客
04-28 671
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
linux中chown找不到文件夹,linux – 如何在没有sudo的情况下将文件chown到subuid
weixin_28746213的博客
04-30 460
基本上,这里发生了什么,我不理解什么?我为我的用户提供了一组子项.我想将文件chown到特定的subuid,这是该用户分配的一部分administrator@host:/home/administrator$cat /etc/subuidroot:100000:65536administrator:165536:65536administrator:1000000:9000001administr...
容器安全 - 限制docker/podman只能使用有效签名的镜像
多恩斯基的博客
11-12 849
《OpenShift 4.x HOL教程汇总》 文章目录注册quay.io用户限制只能使用有效签名的镜像其他 说明:本文使用RHEL或CentOS自带的podman作为容器运行环境,不过这些命令也适合docker容器运行环境。 注册quay.io用户 在quay.io上注册用户。 设置quay的登录用户名和密码 $ QUAY_USERNAME=<YOURNAME> $ QUAY_PASSWORD=<YOURNAME> 登录quay.io $ podman login --u
Linux用户相关命令
qq_32226147的博客
04-28 1087
linux操作系统,用户相关命令
Docker/Podman基础应用
一个80后IT之路
04-26 3440
Docker基础应用1.镜像1.1拉取镜像1.2查看本机镜像1.3查看某个本地镜像详情1.4 搜索远端仓库镜像1.5 删除本地镜像1.6 创建本地镜像1.7 上传本地镜像2.容器2.1 创建容器2.2 启动未运行的容器2.3 新建并运行容器2.4 终止容器2.5 进入容器2.6 删除容器2.7容器迁移3.仓库 1.镜像 Docker镜像类似于虚拟机镜像,他是一个已经打包好的系统文件,一个镜像可以包...
求解无根树中奇数边的数量的c++程序
最新发布
05-27
下面是求解无根树中奇数边的数量的C++程序: ```c++ #include #include using namespace std; const int MAXN = 1e5 + 5; vector<int> G[MAXN]; bool vis[MAXN]; int ans = 0; void dfs(int u, int p, int dep...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值