ugrás a tartalomhoz

alpine adduser -S - kicsit furcsa...

mind1 valami név · 2020. Szep. 14. (H), 11.43
Próbáltam volna egy szolgáltatást (most épp a syslog-ng-t) úgy futtatni, hogy ne legyen szüksége root userre még konténeren belül sem.
De az alpine konténer adduser parancsa kicsit fura számomra: ha csak felveszek egy usert, azzal semmi gond, de ha -S kapcsolóval, egy ú.n. system usert hozok létre, akkor a user nem használható, mert egy /sbin/nologin shellt kap, ha nem rendelkezem másképp.

Próbáltam a serverfault-on kérdezni, de valami agesszív okostojás egyre nyomatta, hogy azért nem megy, mert rossz a shell, meg különben is ötven ilyen kérdés van, hogy inkább töröltem... :)

Szóval mi a túró az a system user, hogy per default egy nologin shellt kell kapnia?
(tehát nem úgy általában mi a system user, hanem, hogy ez miért vonzza a nologint?)
 
1

Nagyon jó kérdés :)

Pepita · 2020. Szep. 15. (K), 12.56
Ismét kérdeztél egy olyat, amire a konkrét választ nem tudom, de más kérdéseket felvet bennem (tehát ez off komment).
Olyan konténert / image-et nem találtál, ami tudja is azt a szolgáltatást, amit szeretnél?
Mi a baj azzal, ha konténeren belül root-ként fut?
Ha konténerbe belépve műxik a cucc root-ként, akkor még meg lehet próbálni az image-ben létrehozni a usert és az ő nevében indítani a szolgáltatást, legalábbis ha az a cél, hogy "magától" elinduljon.
Eddig nem láttam userrel kapcsolatos problémát, de olyat sem, hogy konténerben új usert hozzon létre valaki - mondjuk az, hogy én nem láttam, korántsem jelenti azt, hogy nincs is rá szükség.
2

Biztosan van olyan is, csak a

mind1 valami név · 2020. Szep. 15. (K), 13.07
Biztosan van olyan is, csak a bizalom hiánya ugye... ;)
De egyébként pl. olyan freeradius konténert, ami 1:1-ben olyan, ami nekem kell, nem találtam.
Syslog-ng konténernél van spec. igényem (ebből jött a fenti kérdés), amit out of the box megint nem elégít ki egyik sem.
(konkrétan azt, hogy ne root userrel fusson a syslog-ng)
Ez részben azért gond számomra, mert a doksi szerint működnie kellene, mégsem működik root nélkül, alpine konténerben.
Részben meg azért, mert szeretném a logokat tartalmazó volume-ot read-only átadni egy másik konténernek, hogy az meg olvasni tudjon belőle, annak meg megint nem illene root-ként futnia.

Mondjuk a paranoia nálam alap, szóval amit nem illik rootként futtatni, azt nem is akarom. Plusz, ha valamiért nem használok user mappinget, akkor a konténerben futó root is root, az meg már nem túl egészséges.