McLayn提出的问题 -server

McLayn

Asked: 2024-10-03 03:05:57 +0800 CST

具有用户映射功能的 Podman kube rootless quadlet

6

我正在尝试运行podman由 kubernetes YML 文件定义的 quadlet。我希望它在主机上的用户systemd下以无根方式运行：。websystemctl --user status pod-web

在容器内部，PHP 进程以33:33用户身份运行。我希望/home/web/data主机上的目录归用户所有web，但同时在33:33容器内部，该目录可由用户读取和写入，容器被挂载到/var/www/html。

在评论中，你可以看到我尝试的一些方法。不幸的是，我对用户命名空间和subuid/subgid了解不够，无法使其与文档配合使用，而 Copilot 一直在产生幻觉，因此任何来自真人的帮助都将不胜感激。

我的问题与这个类似，但我想使用podman kubeYML 文件中定义的四元组。

环境：

AlmaLinux release 9.4 (Seafoam Ocelot)
podman version 4.9.4-rhel
systemd 252 (252-32.el9_4.7)
SELinux 启用强制
chown -R web:web /home/web
usermod --add-subuids 100000-165535 --add-subgids 100000-165535 web

/home/web/pod-web.yml：

apiVersion: v1
kind: Pod
metadata:
  name: pod-web
#  annotations:
#    io.podman.annotations.userns: "keep-id"
spec:
  containers:
  - name: pod-web
    image: docker.io/library/php:8.3-apache
#    securityContext:
#      runAsUser: 33
#      runAsGroup: 33
#      supplementalGroups: [65536]
#    ports:
#    - containerPort: 80
#      hostPort: 8000
    volumeMounts:
    - mountPath: /var/www/html
      name: web-data
  volumes:
  - name: web-data
    hostPath:
      path: /home/web/data
  restartPolicy: Always

使用runAsUser: 33容器记录：

(13)Permission denied: AH00072: make_sock: could not bind to address [::]:80
(13)Permission denied: AH00072: make_sock: could not bind to address 0.0.0.0:80

容器runAsUser: 0似乎可以运行，但如果我理解正确的话，这是一种不好的做法，因为它赋予了太多特权。

/home/web/.config/containers/systemd/pod-web.kube：

[Unit]
Description=Podman Quadlet: %p

[Service]
# ExecStartPre=/usr/bin/podman unshare -- /bin/bash -c 'chown -R 33:33 /home/web/data'

[Kube]
Yaml=/home/web/%p.yml
LogDriver=journald
#UserNS=keep-id:uid=33,gid=33
#UserNS=auto

[Install]
WantedBy=multi-user.target default.target

McLayn

Asked: 2024-01-16 18:45:54 +0800 CST

FAPolicyD 开销会减慢服务器速度

7

我们有一台装有Alma Linux 9.3操作系统的服务器。默认情况下（以及当前所有类似 RHEL 的操作系统）它已fapolicyd启用。该服务器上还运行着一个应用程序服务器（WildFly/JBoss/Java）。部署的应用程序处理一些数据文件（由用户提交），并且在标准情况下工作正常。

然而目前，有一段时间应用程序需要每分钟处理 1000 个左右的文件。在这种情况下，fapolicyd开销占用了约 15% 的 CPU，我们认为该开销过高。

我在互联网上找不到有类似问题的人。

fapolicyd我也很惊讶ServerFault 上没有标签。

问题：

有没有一种方法可以优化fapolicyd配置，以便它可以更快地决定是允许还是拒绝文件访问？
- 我想到的一件事是自定义规则的排序。
- 也许使用通配符与使用文字规则。
有什么提示如何评估fapolicyd对我们来说有多重要吗？
- 我们是否可以将其关闭，或者尽管开销巨大，但让它运行是否确实是一个好主意。
- 其他发行版是否也使用类似的东西fapolicyd，或者它是否“只是额外的安全性”就SELinux足够了。（我知道它们不一样。）

资料来源：

McLayn

Asked: 2021-09-08 01:37:33 +0800 CST

Wildfly Standalone.xml - 从 elytron 凭证存储向 KeyCloak SPI 传递秘密

0

我正在将 KeyCloak v15 (WildFly v23) 密码从旧保险库迁移到 elytron 凭证存储。它适用于标准用例。在standalone.xml中，我有 /server/extensions/extension：

<extension module="org.wildfly.extension.elytron"/>

/server/profile/subsystem：

<subsystem xmlns="urn:wildfly:elytron:13.0" final-providers="elytron" disallowed-providers="OracleUcrypto">
    <providers>
        <provider-loader name="elytron" module="org.wildfly.security.elytron"/>
    </providers>
    <audit-logging>
        <file-audit-log name="local-audit" path="audit-log.log" relative-to="jboss.server.log.dir" format="JSON"/>
    </audit-logging>
    <credential-stores>
        <credential-store name="credStore" location="/data/credStore.jceks">
            <implementation-properties>
                <property name="keyStoreType" value="JCEKS"/>
            </implementation-properties>
            <credential-reference clear-text="MASK-123456789;salt123;42"/>
        </credential-store>
    </credential-stores>
</subsystem>

我使用以下方式访问密码 /server/profile/subsystem[@xmlns="urn:jboss:domain:jgroups:8.0"]/stacks/stack[@name="tcp"]/auth-protocol/digest-token/shared-secret-reference：

<shared-secret-reference store="credStore" alias="myBlock::mySecret"/>

但是，我需要将一个秘密传递给属性中的 SPI。知道怎么做吗？这是旧的保险库方式：

/server/system-properties/property：

<property name="secret" value="${VAULT::myBlock::mySecret::1}"/>

/server/profile/subsystem[@xmlns="urn:jboss:domain:keycloak-server:1.1"]/spi：

<spi name="mySpi">
    <provider name="file" enabled="true">
        <properties>
            <property name="password" value="${secret}"/>
        </properties>
    </provider>
</spi>

McLayn

Asked: 2021-09-02 02:53:38 +0800 CST

systemd-tmpfiles 竞争条件

1

我有一个配置文件/etc/tmpfiles.d/test.conf：

z /dir/*         660 -    -    -
z /dir/subdir   2770 -    -    -
z /dir/subdir/*  660 -    -    -
Z /dir             - root test -

当我运行时systemd-tmpfiles --prefix=/dir --create /etc/tmpfiles.d/test.conf ; ll /dir，访问权限/dir/subdir是随机的

有时drwxrws---（根据/dir/*规则）和
有时drw-rw----（根据/dir/subdir规则）。

我如何使它具有确定性？

关键是该目录/dir包含很多文件和一个子目录，我想设置rw对文件的rwx访问权限和对子目录的访问权限。

森托斯 7

人 tmpfiles.d

McLayn

Asked: 2021-08-06 08:09:29 +0800 CST

CentOS 无法启动并显示“A stop job is running for Security Auditing Service”消息

2

CentOS 在启动过程中打印以下内容

[ ***  ] A stop job is running for Security Auditing Service (9s / 1min 30s)

然后切换到单用户模式。

具有用户映射功能的 Podman kube rootless quadlet

FAPolicyD 开销会减慢服务器速度

Wildfly Standalone.xml - 从 elytron 凭证存储向 KeyCloak SPI 传递秘密

systemd-tmpfiles 竞争条件

CentOS 无法启动并显示“A stop job is running for Security Auditing Service”消息

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

McLayn's questions