运行不使用 PrivateTmp、PrivateNetwork 和 PrivateDevices 的 systemd(在 docker - 非特权模式下)

运行不使用 PrivateTmp、PrivateNetwork 和 PrivateDevices 的 systemd(在 docker - 非特权模式下)

我很高兴在 docker 容器内运行 systemd,但是它需要 CAP_SYS_ADMIN 才能动态创建私有 tmp 挂载。

我试图禁用 PrivateTmp、PrivateNetwork 和 PrivateDevices - 但无济于事,当我启动容器时我看到:

Failed to mount tmpfs at /run: Operation not permitted

但是,/usr 或 /etc 中没有 PrivateTmp=yes (和其他) 的服务。基于:https://bugzilla.redhat.com/show_bug.cgi?id=1033604#c14- 我以为这些就是导致 systemd 动态创建挂载的全部原因 - 但肯定还有更多。任何建议都值得赞赏。

相关内容