Re: Rootless docker
пн, 3 нояб. 2025 г. в 20:01, Peter Pentchev <roam@ringlet.net>:
> Думаю, основная причина запускать демона с правах юзера в том, что
> так процесы в контейнерах тривиально имеют права доступа с файлах
> того же юзера. Как Вы думаете подавать файлы, когда запускаете
> контейнер? Или у Вас все в имидже?
Если речь идет про имиджи юзера (не знаю, там какой-нить zoom в
контейнере запустить), то да, это проблема, но тут как раз вполне
пригодно использовать docker-демона именно этого юзера.
В моём же случае речь про запуск системных сервисов с пониженными
привилегиями. То есть конфиги в моем представлении будут браться из
условного /etc, где они лежат с правами рута и для сервиса они
являются read only. Если сервис сам вырабатывает какие-то данные, то
они будут храниться в каком-нибудь промапленном каталоге с правами
этого специального докерного юзера.
> (inb4: docker cp в общем не вариант, слишком мудно)
>
> Может, я слишком влияюсь тем, что мне нужно - я очень часто
> запускаю контейнера чтобы запустить какою-то программу, которая
> берет какое-то множество файлов, обрабатывает, и создает какое-то
> множество других файлов. Если Вам нужно прежде всего запускать
> каких-то сервисов, то, да, мой вопрос не очень важен - все файлы
> будут принадлежать специальному юзеру.
Немного оффтоп, но коли вы в этом имеете опыт, то может быть
сталкивались с такой проблемкой - я пытался запускать zoom в докере, и
всё бы хорошо, но он не видит камеры. Сокет pipewire прокидывал в
контейнер, девайсы камер тоже. Но не видит и всё. Пробовал ему даже
strace делать, но особо не увидел в этой тонне логов, куда он пытается
тыкаться, чтобы подцепить камеры.
--
With best regards
Maksim Dmitrichenko
Reply to: