问题

添加CAP_SYS_ADMIN仍然是使 fuse 在无根容器内工作的唯一方法吗（使用本机覆盖或fuse-overlayfs/其他方法）？

示例

Podman 中的 Podman

此示例来自https://www.redhat.com/en/blog/podman-inside-container

podman run --user podman --security-opt label=disable --device /dev/fuse -ti quay.io/podman/stable podman run -ti docker.io/busybox echo hello

对我来说没有问题。但它让我假设它是fusermount在容器内部使用，或者可以使用它，而使用相同的设置时则不起作用。

更重要的是，它似乎没有安装任何东西：

podman run --user podman --security-opt label=disable --device /dev/fuse -ti quay.io/podman/stable
# running commands in container
cat /proc/mounts > /home/podman/before
podman run -d docker.io/busybox sleep 100
cat /proc/mounts > /home/podman/during
diff /home/podman/before /home/podman/during
# (no difference)

似乎省略/dev/fuse也有效（使用本机覆盖进行测试）：

podman run --user podman --security-opt label=disable -ti quay.io/podman/stable podman run -ti docker.io/busybox echo hello

绑定文件系统

只需添加bindfs到图像中

FROM quay.io/podman/stable

RUN dnf -y install bindfs

运行一个容器

podman run --user podman --security-opt label=disable --device /dev/fuse -ti built_image_from_above:latest
# inside the container
cd ~ && mkdir test1 test2
bindfs --no-allow-other test1 test2
fusermount: mount failed: Operation not permitted

我假设其他保险丝座的行为也相同，例如sshfs。这可能是容器内的权限问题，还是主机拒绝了它？

想法

需要特权

这个答案暗示要使用 fuse，您需要拥有特权。

提到了 Setuid，但我不确定它是什么意思。在 continer 中：

ls -l $(which fusermount3)
-rwsr-xr-x. 1 root root 40800 Jul 17 00:00 /usr/bin/fusermount3

无根覆盖

我也尝试mount_program过从 中删除行storage.conf并运行podman system reset，如此处所述。但我不确定这是否仅与覆盖有关，还是也与保险丝有关。如果我不添加/dev/fuse，则设备不会出现在 continer 中：

fuse-overlayfs 的另一个缺点是它需要访问 /dev/fuse。当人们尝试在受限容器内运行 Podman 和 Buildah 时，我们会取消 CAP_SYS_ADMIN 权限，即使以 root 身份运行也是如此。这迫使我们使用用户命名空间，以便我们可以挂载卷。为了实现这一点，用户必须将 /dev/fuse 添加到容器中。一旦我们有了无根模式（无 CAP_SYS_ADMIN）的原生覆盖，就不再需要 /dev/fuse。

版本

Host: Fedora 41
Podman: 5.3.1

我正在尝试构建一个涉及 on 的 rust 程序，diesel并且postgresql构建Fedora 31失败，因为链接器找不到libpq. 因为它可以用 重现gcc，所以我用它gcc来缩短问题。

gcc -L /lib64 -lpq
/usr/bin/ld: cannot find -lpq

ls /lib64 | grep libpq
libpq.so.5
libpq.so.5.11

ldd /lib64/libpq.so.5
        linux-vdso.so.1 (0x00007ffc06ddd000)
        libssl.so.1.1 => /usr/lib64/libssl.so.1.1 (0x00007f4885ea7000)
        libcrypto.so.1.1 => /usr/lib64/libcrypto.so.1.1 (0x00007f4885bc7000)
        libgssapi_krb5.so.2 => /usr/lib64/libgssapi_krb5.so.2 (0x00007f4885b75000)
        libldap_r-2.4.so.2 => /usr/lib64/libldap_r-2.4.so.2 (0x00007f4885b1d000)
        libpthread.so.0 => /usr/lib64/libpthread.so.0 (0x00007f4885afb000)
        libc.so.6 => /usr/lib64/libc.so.6 (0x00007f4885932000)
        libz.so.1 => /usr/lib64/libz.so.1 (0x00007f4885916000)
        libdl.so.2 => /usr/lib64/libdl.so.2 (0x00007f488590f000)
        libkrb5.so.3 => /usr/lib64/libkrb5.so.3 (0x00007f488581e000)
        libk5crypto.so.3 => /usr/lib64/libk5crypto.so.3 (0x00007f4885805000)
        libcom_err.so.2 => /usr/lib64/libcom_err.so.2 (0x00007f48857fe000)
        libkrb5support.so.0 => /usr/lib64/libkrb5support.so.0 (0x00007f48857ec000)
        libkeyutils.so.1 => /usr/lib64/libkeyutils.so.1 (0x00007f48857e3000)
        libresolv.so.2 => /usr/lib64/libresolv.so.2 (0x00007f48857ca000)
        liblber-2.4.so.2 => /usr/lib64/liblber-2.4.so.2 (0x00007f48857b9000)
        libsasl2.so.3 => /usr/lib64/libsasl2.so.3 (0x00007f4885799000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f4885f8c000)
        libselinux.so.1 => /usr/lib64/libselinux.so.1 (0x00007f488576c000)
        libcrypt.so.2 => /usr/lib64/libcrypt.so.2 (0x00007f488572f000)
        libpcre2-8.so.0 => /usr/lib64/libpcre2-8.so.0 (0x00007f488569d000)

例如，libpthread 也位于 中lib64，可以找到：

gcc -L /lib64 -lpthread
/usr/bin/ld: /usr/lib/gcc/x86_64-redhat-linux/9/../../../../lib64/crt1.o: in function `_start':

我是否遗漏了某些东西，或者通常应该立即找到它？

我有一个带有循环监视目录的bash脚本：

while true
do
    if path=`inotifywait -q -r -e create --format %w%f $watchpath`; then
        #modify file
    fi
done

如果我没记错的话，这会带来这个问题：

如果在该目录中创建了许多文件，或者机器正忙于其他任务，inotifywait则可以在再次到达之前创建一个文件 - 这意味着它将被忽略。

有没有办法减轻这种情况？也许有办法连续“观察”和处理修改文件的流/馈送？

我正在使用带有 KDE 的 Fedora 30，并且为了方便起见，我正在尝试将 (Zsh) 绑定autosuggest-execute到Ctrl+ Enter。我正试图让它在gnome-terminal.

但是我发现在这三种情况下showkey -a总是返回： 、+和+ 。^MEnterCtrlEnterShiftEnter

我尝试了这个方法（Ctrl <Return> : "\033M"in .XCompose），但它根本不起作用，因为 XCompose 文件没有被读取。所以我决定安装ibus它，因为我的 KDE 安装没有附带dnf groupinstall input-methods.

跑步ìbus-setup现在给我这个警告：

GTK+ supports to output one char only: "\033M": ! Ctrl <Return> : "\033M"

不幸的是，所有输入组合仍然归结为^Mingnome-terminal和xterm。

有没有办法区分那些有或没有 ibus 的组合键？

我正在将运行 sendmail 的邮件服务器迁移8.14.3到 postfix 服务器。新MDA服务器上的Dovecot. 为了确保无缝转换，最好将传入的邮件同时传递到两个服务器。

我听说过 sendmail 中的SMART_HOSTandnullcient选项，但我不确定这是否按我需要的方式工作。我需要的是所有传入的邮件也传递到新服务器，而现有配置保持不变，因为它们也应该传递到旧服务器上的邮箱。

邮件被发送到类似的地址，[email protected]并且应该发送到mx1.mydomain.com（旧）和mx2.mydomain.com（新）。所以mx1应该转发一份到mx2.

双 MX 记录是不够的，因为只有在另一台服务器无法访问时才会联系一台服务器 - 而两者都应该接收邮件。

也许另一种选择是配置sendmail为通过 ? 直接交付到Dovecot新服务器上lmtp？或者可能只是rsync两台服务器上的邮箱。但我不确定这是否兼容。

更新：格式不同：在旧服务器上，每个邮箱只有普通的旧文件，同时在每个用户的邮件目录中Dovecot创建一个cur,结构。new tmp但是，最终，具有类似格式的文件驻留在这些目录中。操作字符串是不同的。也许可以翻译旧格式并定期将其复制到新服务器？这会以某种方式干扰Dovecot吗？我可以在哪里将副本放在新服务器上，这样Dovecot在仍然识别它们的同时不会受到影响？

我希望有某种解决方法。

系统信息

邮箱数量：~100-200

旧服务器：

OS: Debian GNU/Linux 6.0
sendmail 8.14.3
mails are delivered to "real"/"passwd" users
Other Serives: apache2, mysql, other miscellaneous

新服务器：

OS: Debian GNU/Linux 9
postfix
dovecot
mails are delivered to virtual users/SQL
Other services: apache2, mysql, other miscellaneous

当前 MX 条目供参考：

mydomain.com.    IN      MX      0 mx1.mydomain.com.
mydomain.com.    IN      MX      1 mx2.mydomain.com.