OverlayFSマウントは、権限のないユーザーネームスペース内からアクセスすると奇妙に機能します。たとえば、説明するのが最善です。
~# uname -a
Linux host 4.1.0-1-amd64 #1 SMP Debian 4.1.3-1 (2015-08-03) x86_64 GNU/Linux
~# runuser - test -c id
uid=2000(test) gid=2000(test) groups=2000(test)
~# cat /etc/subuid /etc/subgid | grep test
test:200000:65536
test:200000:65536
~# cd ~test
/home/test# mkdir -p upper/test1 lower/test2 target target.work
/home/test# chown -R test:test upper lower target target.work
/home/test# mount -t overlay -o lowerdir=lower,upperdir=upper,workdir=target.work overlay target
/home/test# mount | grep test
overlay on /home/test/target type overlay (rw,relatime,lowerdir=lower,upperdir=upper,workdir=target.work)
オーバーレイがインストールされ、期待どおりに機能します。
/home/test# runuser - test
~$ cd target
~/target$ ls -l
total 8
drwxr-xr-x 2 test test 4096 Sep 15 13:50 test1
drwxr-xr-x 2 test test 4096 Sep 15 13:50 test2
~/target$ mkdir test3
~/target$ mkdir test2/test2-3
~/target$ mkdir test1/test1-3
それでは、権限のないユーザーの名前空間を試してみましょう。
~/target$ ^D
/home/test/target# cd ..
/home/test# umount target
/home/test# rm -rf upper lower target target.work
/home/test# mkdir -p upper/test1 lower/test2 target target.work
/home/test# chown -R 200000:200000 upper lower target target.work
/home/test# mount -t overlay -o lowerdir=lower,upperdir=upper,workdir=target.work overlay target
/home/test# mount | grep test
overlay on /home/test/target type overlay (rw,relatime,lowerdir=lower,upperdir=upper,workdir=target.work)
権限のない名前空間を許可する必要があります。
/home/test# sysctl -w kernel.unprivileged_userns_clone=1
いいですね。以下を試してみましょう。
/home/test# runuser - test
~$ lxc-usernsexec -m u:0:200000:65536 -m g:0:200000:65536 -m u:65536:2000:1 -m g:65536:2000:1 -- /bin/bash
~# cd target
~/target# ls -l
total 8
drwxr-xr-x 2 root root 4096 Sep 15 13:57 test1
drwxr-xr-x 2 root root 4096 Sep 15 13:57 test2
今まではそんなに良くなった。
~/target# mkdir test3
~/target# mkdir test2/test2-3
~/target# mkdir test1/test1-3
mkdir: cannot create directory 'test1/test1-3': Permission denied
これが崩れるところです。 Aufsは同じシナリオでうまく機能します(Debian 4.1カーネルではaufsがサポートされなくなったことを除いて)。
動作させる方法はありますか?
答え1
target.work/work
マウントがルートに属するためだと思います。マウントした後、そのディレクトリを削除してみることはできますか?しかし、上記のディレクトリではなく、下のディレクトリだけが必要なより簡単なコピーケースを見つけました。
# from user
mkdir -p upper lower/test2 target target.work
# from root
mount -t overlay -o lowerdir=lower,upperdir=upper,workdir=target.work overlay target
# from user again
unshare -Ur touch target/test2/1
インストール後に接続すると、chown user:user target.work/work
すべてがうまく機能します。これをoverlayfsのバグと見なすべきか機能と見なすべきかわかりません:)
答え2
気づいたかどうかはわかりませんが、2番目のインストールが間違っています。
-m g:0:2000000:65536
しなければならない-m g:0:200000:65536
。あなたのコマンドに追加0
。
ステップを実行しましたが、エラーが見つかりませんでした。
root@clone-newuser:/home/test# mount -t overlay -o lowerdir=lower,upperdir=upper,workdir=target.work overlay target
root@clone-newuser:/home/test# runuser - test
test@clone-newuser:~$ lxc-usernsexec -m u:0:100000:65536 -m g:0:100000:65536 -m u:65536:1000:1 -m g:65536:1000:1 -- /bin/bash
root@clone-newuser:~# ls
lower target target.work upper
root@clone-newuser:~# cd target
root@clone-newuser:~/target# ls
test1 test2
root@clone-newuser:~/target# mkdir test3
root@clone-newuser:~/target# mkdir test2/test2-3
root@clone-newuser:~/target# mkdir test1/test1-3
root@clone-newuser:~/target#
しかし、私は少し新しいカーネルを使用しています。
root@clone-newuser:/home/test# uname -srm
Linux 4.1.7-040107-generic x86_64
これがあなたに役立つかどうかは本当にわかりません。