файловая система доступная из контейнера (lxc) только в RO ?

0

1

Хочу странного: каталог видимый из контейнеров в RO, но доступный с основной системы на RW и не через сеть.

«mount --bind» не подходит, т.к. сказав в контейнере «mount ... remount,rw» оно становится rw.

Может есть способ запретить в контейнере mount (CAP_SYS_ADMIN запрещать нельзя)? И без SELinux...

PS ядра >= 3.18

←	Блокировка экрана приводит к блокировке аудиозаписи(arecord).

→

т.к. сказав в контейнере «mount ... remount,rw» оно становится rw.

Разве нельзя такое поведение запретить через capabilities?

Что-то типа

lxc.cap.drop = sys_admin

~~KRoN73~~ ★★★★★
(08.07.15 23:55:23 MSK)

Обязательно всю ФС в ro? А то может просто правами разрулить (смотри мапинг uid-ов в LXC)?

MrClon ★★★★★
(09.07.15 00:02:35 MSK)

Ответ на: комментарий от KRoN73 08.07.15 23:55:23 MSK

Меня насторожило в «man capabilities» слова про IPC_SET and IPC_RMID.

Странно, но ipcmk & ipcrm работает, что хорошо.

vel ★★★★★
(09.07.15 00:12:20 MSK) автор топика

Ответ на: комментарий от MrClon 09.07.15 00:02:35 MSK

хорошая идея для запуска отдельного сервиса, а у меня в контейнере слегка урезанная система. Я пока не понял как мне это может помочь.

Пока сброс cap_sys_admin решает задачу, но не понятно, что может отвалиться.

vel ★★★★★
(09.07.15 00:18:12 MSK) автор топика

Ответ на: комментарий от vel 09.07.15 00:18:12 MSK

Тупанул, да.

MrClon ★★★★★
(09.07.15 00:29:05 MSK)

Да вам прямиком в докер, дяденька

dvrts ★★★
(09.07.15 06:12:11 MSK)

Монтируй dir1 bind в dir2 ro, и dir2 уже отдавай в контейнер, пусть пишут.

sin_a ★★★★★
(09.07.15 09:32:25 MSK)

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Блокировка экрана приводит к блокировке аудиозаписи(arecord).

→

Похожие темы