Разница между Login Shell и SSH Login?

Ну, дак, с systemd жить — по новому выть. https://github.com/systemd/systemd/issues/7451#issuecomment-346787237

Типа, только machinectl shell подходит в случае systemd...

Вот нифига не интуитивно)

14 лет тулзе(systemd), пустила корни в большинство систем, но сделала это весьма своеобразно.

Кастую intelfx, чтобы рассказал как это устроенно внутри, когда мы все перейдём к коммунизму run0 и как я должен жить и работать с такими инструментами, чтобы не рвать волосы на голове?

Т.е. я еще должен в систему доустанавливать systemd-container… ну приемлемо, см. выше про 14 лет совместной жизни, вопрос в другом: а почему полноценный логин теперь только по SSH ?

Алиса и предположить не могла, насколько глубока оказалась кроличья нора…

Можно просто machinectl shell user@

почему полноценный логин теперь только по SSH ?

Не только.

Не только.

Можешь привести остальные примеры?

Буквально двумя строчками выше было.

Как не интуитивно? Все же знаю, что systemd пожирает другие команды и он не остановится.

А про su даже Хакер давным давно (в 2015 году) написал: systemd поглотил функциональность команды su

и как я должен жить и работать с такими инструментами

Осторожно, тонкий лёд. Сейчас вас будут пинать и хейтеры и фанаты systmed.

как я должен жить и работать с такими инструментами, чтобы не рвать волосы на голове?

Всё очень просто, ставишь дистр без системг и больше оно тебя не беспокоит.

Кстати интересно а бывают poettering-free дистры?

Сейчас вас будут пинать и хейтеры и фанаты systmed

Не страшно, я соскучился по старому доброму ЛОРу)

Мне интересно другое, как с этим живут systemd-евангелисты?

Вот и подожду здесь, пусть поделятся со мной священным знанием ;-)

Всё очень просто, ставишь дистр без системг

И перечесть их можно на пальцах одной руки: Devuan, Slackware, Void и парочка маргинальных дистров о которых я не помню.

Печаль(

Евангелисты не любят писать в темах-проблемах systemd. Кастанутый вами последний раз писал месяц назад в теме про open-rc, понятно, советую установить systemd.

Печаль

И печаль не только в том, что без системгд дистров мало, но в том, что эти маргинальные дистры ушло достаточно много опытных пользователей, способных что-то ковырять/критиковать. И из-за этого в systemd-дистрибутивах доля пользователей радующихся всему выросла.

https://www.youtube.com/watch?v=2fFdglmuEkU

А если sudo -Es? У меня пользовательские переменные сохраняются:

028 ~ $ id -u
1000
029 ~ $ export TEST="some test"
030 ~ $ sudo -Es

001 ~ $ id -u
0
002 ~ $ echo $TEST
some test
003 ~ $ exit
exit

031 ~ $

При случае проверю этот вариант, спасибо.

P.S. Справедливости ради, в ОП (для обоих случаев) задача как раз обратная из рута переключиться в обычного пользователя, полноценно загрузить его окружение (юзера) и начать сессию.

Мне, как человеку, который во все эти ваши systemd-нюансы вникает редко, кажется: -Ну, что может быть проще!

А оно вон оно как…

Но для полноты картины ваш вариант тоже полезен)

Кастую

этот злобный школьник сам ни в чём не разбирается

завоняет тебе всю ветку заявлениями какой он умный, а кругом идиоты

Он до сих пор школьник, ЛОР ему аттестата не выдал? =)

systemctl –user enable –now podman.socket

интересно, а где ты раньше, до системд, видел инит-скрипты от пользователя?

Вообще-то твоя цитата, это лишь следствие (ситуация в которой возникла аналогичная проблема) и сабж совсем не про init-скрипты от пользователя или разницу между докер и подман :-)

Пытаться так неумело соскочить с темы обсуждения,

это надо очень постараться.

Ну объективности ради, подман - недоделок, который используют только недоумки. (я использовал, но вылечился, чего и вам желаю)

И использовать для демонстрации недоработок режимы, которые были немыслимы раньше, это тоже несколько странно.

В sudo ксть куча ключей, которые позволяют тонко решать, что остается от текущего пользователя, а что он нового. И это удобно.

Ну объективности ради, подман - недоделок

Вы меня настойчиво склоняете к офтопу, но тут я таки соглашусь.

И, раз пошла такая пьянка, ткните меня в документацию, как сделать в современном докере rootless контейнер.

У меня как раз была потребность, чтобы файлы из контейнера на хост записывались от обычного юзера, а не от рута.

Podman мне было проще и быстрее поднять, ради пары бинарников в контейнере.

опция –user

Программы в Докер можно и нужно использовать без необходимости создания и работы в контейнере, перехода в него. Просто кидаешь скрптик в бин и используешь его как локальную команду.

Кстати говоря, по поводу ишуйки из ОП я даже Поттерингу напрямую писал, ответа от него не последовало и я почему-то не удивлен.

Называется «Мы и Они».

опция –user

Почти согласен)

Типа вот так ?

Хорошо, а если у меня просто голый дебиановский имидж с Python 3.x И условного юзера с uid 1001 в его контейнере не будет.

Этот ключ его, что создаст?

P.S. Мой последний офтоп-пост по теме runtime’а для контейнеризации.

Надо осваивать инструмент. В докер есть прекрасная опция монтирования бинд. Для работы от юзера надо сбиндить два файла passwd и shadow в ro в контейнер. Если нужны иксы или доступ к другим сокетам, биндишь /run. Погугли, почитай, на стеклверфлоу и гитхабе все записано

Мне интересно другое, как с этим живут systemd-евангелисты?

У них один пользователь на всю систему))

Аааа!!1

Для работы от юзера надо сбиндить два файла passwd и shadow в ro в контейнер.

Я думал об этом, но мне это показалось слишком.

Потому и начал обмазываться podman-говнецом)

Погугли, почитай, на стеклверфлоу и гитхабе все записано.

Всё так, но некоторые компромиссы для меня неприемлимы.

У них один пользователь на всю систему))

Не совсем:

$ cat /etc/passwd | wc -l
43

Это странно. Все программы в системе имеют доступ к этим файлам.

Не более обычного. Запускать программы от рута секурнее? Попахивает бредом.

Попахивает бредом.

Не большим бредом, чем в контейнер прокидывать системные файлы хоста.

Контейнер должен иметь минимально необходимые файлы из хоста для того, чтобы хорошо выполнить свою (желательно одну) функцию.

Пускай и концептуально, но изоляция контейнер-хост нарушается

Именно тем и хорош podman, что не нужно городить таких костылей, хоть пишут, что он уже викинут на мороз и имеет свои врожденные недостатки.

Зависит от задачи.

У тебя в голове сидит один специфичный и простой случай - отдельный контейнер с каким-то отдельным демоном, которому надо дать минимум информации и прав, заодно ограничив в ресурсах.

По сути, это виртуалка с минимумом оверхеда. Верно? В таком случае можно и нужно не биндить ему системные файлы, в создать их из одной строчки (можно динамическм, скриптом выкусывать и вперед)

У меня же речь идет о тесной интеграции. Докер там нужен только для запуска программы в родном ему окружении. И программы там самые разные. Да, нжинкс, нжинкс юнит нужны и прекрасно работают. При этом я им даю их конфиги из /etc, логи в /var/log сокет в /run и т.д. Естессно, запускаются они стандартным юнитом в системд. Со стороны вообще не понять, что это докер. Просто из воздуха на центоси вдруг живет нжинкс с тлс 1.3 и юнит с питон 3.12 и только.

Но это все ерунда. Почему бы не поставить питон 3.12 в докер? Как системный, просто запуск в докере, с доступом и запуском, как у обычного питона? С запуском от любого пользователя, крторый его и запускает? Что в этом плохого или несекурного? А если иксовая программа? А если мате-десктоп? В чем проблема?

Секурнее? Да еще как! все что не меняется, бинди в ro. Даже рут не изменит. Контейнер запускается каждый раз заново, от чист. Никаких побочек. Разве плохо? Цертбот у меня просто программа. Но в докере. Ничего нк может, кроме своего. Но в свои обычные директории пишет и жрать не просит. Разве это не изоляция?

На практике (если плясать от конкретной задачи) изоляция, но в мирке стройных и красивых теорий такой подход открывает пространство дискуссий и пререканий, причем на пустом месте.

Если Вы понимаете о чем я ;-)

Хотя, с certbot’ом на тестовой виртуалке как-нибудь попробую.

Спасибо.

P.S. И похоже на переизобретение какого-нибудь NixOS из костылей, но см. выше о пространстве глупых споров)

Кстати интересно а бывают poettering-free дистры?

Gentoo можно так приготовить. У меня на домашней машине нет ни systemd, ни pulseaudio, ни avahi.

Можно то понятно, но вот такие чтоб из коробки по дефолту. А он кроме этих трёх прог ничего не написал разве?

просто уточню. Я никсос крутил как раз в надежде решить проблемы старого софта в системе. Но это не сработало. И это очень геморно.

Докер и нужен для того, чтобы не собирать свое, а использовать вариант автора, который он уже оттестировал и который он обновляет.

Ладно, с наступающим!

Ладно, с наступающим!

Спасибо за интересный диалог, взаимно.

Мира, добра, здоровья!

С Новым годом!

https://www.phoronix.com/news/systemd-tmpfiles-purge-drama