Toolbox: 도구 상자 컨테이너 내부의 sudo(8)은 Podman 2.0.5에서 암호를 묻습니다.

Fedora Workstation 32 및 Fedora Workstation 33 (가상 머신에서)에서 몇 가지 테스트를 수행했으며 F32에서 제대로 작동하는지 확인할 수 있지만 F33에서 동일한 문제가 발생했습니다.
따라서 이것은 Silverblue 버전뿐만 아니라 Fedora 33 자체의 문제입니다.

몇 가지 테스트 후에 몇 가지 차이점을 발견했습니다.

• 포드맨의 버전이 다릅니다.
  
  
  
  • F32 : 2.0.2
  
  
  • F33 : 2.1.0-dev
  
  
• /etc/group 및 /etc/shadow 이 다릅니다.

Fedora 33 의 도구 상자 컨테이너에서 사용자는 자체 그룹이 없고 wheel 그룹에 없습니다.
또한 사용자는 /etc/shadow 파일에 항목이 없고 root 사용자는 암호가 잠겨 있습니다.

Fedora 32 와 Fedora 33 간의 /etc/group 파일(컨테이너 내부)에 대한 diff. 사용자의 사용자 이름은 vagrant .

--- f32-image-f33/group 2020-08-14 19:19:38.734363987 +0000
+++ f33-image-f33/group 2020-08-14 19:17:39.018504713 +0000
@@ -8,7 +8,7 @@
 lp:x:7:
 mem:x:8:
 kmem:x:9:
-wheel:x:10:vagrant
+wheel:x:10:
 cdrom:x:11:
 mail:x:12:
 man:x:15:
@@ -26,4 +26,3 @@
 utempter:x:35:
 ssh_keys:x:999:
 tcpdump:x:72:
-vagrant:x:1000:

/etc/shadow 대한 diff:

--- f32-image-f33/shadow    2020-08-14 19:15:25.125242112 +0000
+++ f33-image-f33/shadow    2020-08-14 19:17:11.658920405 +0000
@@ -1,4 +1,4 @@
-root::18488:0:99999:7:::
+root:!locked::0:99999:7:::
 bin:*:18473:0:99999:7:::
 daemon:*:18473:0:99999:7:::
 adm:*:18473:0:99999:7:::
@@ -12,4 +12,3 @@
 ftp:*:18473:0:99999:7:::
 nobody:*:18473:0:99999:7:::
 tcpdump:!!:18481::::::
-vagrant::18488:0:99999:7:::

문제는 원시 가죽(F33SB)에 여전히 존재하지만 도구 상자에 들어갈 때(/usr/bin/id: 그룹 ID 1000의 이름을 찾을 수 없음) 메시지가 더 이상 나타나지 않습니다.

나도 오류(/usr/bin/id: 그룹 ID 1000의 이름을 찾을 수 없음)를 확인하여 fedora-toolbox-33 이미지를 제거하고 도구 상자를 다시 생성했지만 이제 sudo 명령을 사용할 수 없습니다. 나는 지금 붙어있다.

나는 요전에 내가 한 발견에 대한 후속 조치를 취하고 sudo 작동하도록 관리합니다.

단계:

(이 모든 것은 VM의 Fedora Workstation 33 에 있음)

1. 컨테이너를 만듭니다.

[vagrant@ci-node-33 ~]$ toolbox create
Created container: fedora-toolbox-33
Enter with: toolbox enter

1. toolbox 를 사용하여 컨테이너에 입력하고 sudo 명령을 시도합니다.

⬢[vagrant<strong i="18">@toolbox</strong> ~]$ sudo ls

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for vagrant: 

실패합니다! :실망한:

1. podman 를 사용하여 컨테이너에 입력하십시오.

[vagrant@ci-node-33 ~]$ podman exec -it fedora-toolbox-33 /bin/bash

1. 사용자가 올바른 그룹을 가지고 있지 않고 shadow 파일에 없었기 때문에(이전 주석에서 보았던 것처럼) 동일한 명령을 사용하려고 시도하면서 사용자를 삭제하고 다시 생성했습니다. toolbox 가 수행하는 매개변수( init-container 명령에서):

# Delete the user
⬢[root<strong i="32">@toolbox</strong> /]# userdel --force vagrant

# Create the user
⬢[root<strong i="33">@toolbox</strong> /]# useradd --home-dir /home/vagrant/ --no-create-home --shell /bin/bash --uid 1000 --groups wheel vagrant

# Check the user groups (this time are OK)
⬢[root<strong i="34">@toolbox</strong> /]# id vagrant
uid=1000(vagrant) gid=1000(vagrant) groups=1000(vagrant),10(wheel)

# Delete the user password
⬢[root<strong i="35">@toolbox</strong> /]# passwd --delete vagrant
Removing password for user vagrant.
passwd: Note: deleting a password also unlocks the password.
passwd: Success

# Check that the user is at the file /etc/shadow (this is important for PAM authentication and sudo)
⬢[root<strong i="36">@toolbox</strong> /]# grep vagrant /etc/shadow
vagrant::18493:0:99999:7:::

# Logout from the container
⬢[root<strong i="37">@toolbox</strong> /]# exit
[vagrant@ci-node-33 ~]$ 

1. toolbox 사용하여 컨테이너에 입력하고 sudo 명령을 시도합니다.

[vagrant@ci-node-33 ~]$ toolbox enter
⬢[vagrant<strong i="44">@toolbox</strong> vagrant]$ sudo id

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

uid=0(root) gid=0(root) groups=0(root)

이제 작동합니다! :웃다:

결론

init-container 명령( 여기 어딘가)에서 사용자 생성에 문제가 있는 것 같습니다.

신고해 주시고 범인을 찾아주셔서 감사합니다! Rawhide의 Podman은 컨테이너를 생성할 때 --userns=keep-id 옵션을 처리하는 방식을 변경한 것 같습니다. 이제 사용자와 그룹이 생성됩니다. 첫 번째 문제는 사용자 그룹에 올바른 GUID가 있음에도 불구하고 이름이 없기 때문에 이 기능 자체와 관련된 것 같습니다(업스트림에서 보고했습니다: https://github.com/containers/podman/issues/7389).

다른 부분(sudo의 경우 비밀번호를 입력해야 함)은 @juanje 가 가리키는 코드 경로가 현재 사용자가 컨테이너에 없는 경우에만 트리거된다는 사실에 기인합니다. 이 코드는 사용자 생성, 올바른 그룹에 추가, 사용자 및 루트 암호 삭제를 처리합니다. init-container 명령어의 코드는 그런 경우에도 호출되도록 약간 재구성해야 한다고 생각합니다.

Rawhide의 Podman이 방식을 바꾼 것 같습니다.
생성할 때 --userns=keep-id 옵션을 처리합니다.
컨테이너. 이제 사용자와 그룹이 생성됩니다. NS
첫 번째 문제는 이 기능과 관련된 것 같습니다.
사용자 그룹에 이름이 없기 때문에
올바른 GUID가 있음에도 불구하고(나는 업스트림에서 다음을 보고했습니다.
컨테이너/포드맨#7389).

실제로 그룹을 생성하지 않는 것 같습니다. 그렇지 않으면 이름이 있을 것입니다. 바로 사용자를 생성하는 것입니다.

홈 디렉토리도 생성하는지 궁금합니다. 내가하지 희망.

https://github.com/containers/podman/pull/6829 는 문제가 되는 Podman 변경 사항이었습니다.

이것은 fedora- toolbox:f32 image를 사용하는 Silverblue 32에서 지금 저에게 일어나고 있습니다
도구 상자 버전: 0.0.93
포드맨 버전: 2.0.5

이것은 fedora- toolbox:f32 image를 사용하는 Silverblue 32에서 지금 저에게 일어나고 있습니다
도구 상자 버전: 0.0.93
포드맨 버전: 2.0.5

예, 이제 F32의 새 도구 상자 인스턴스에서 Silverblue 32에 문제가 있습니다. 이전 도구 상자 인스턴스에서는 여전히 작동하지만 새 생성에서는 작동하지 않습니다. 따라서 "고정"하기 위해 수행한 작업은 F32에서 중단되었습니다.

도구 상자 0.0.93 및 podman 2.0.5가 있는 Fedora 32 SB에서 이 문제를 확인할 수 있습니다.

이것은 Fedora에만 국한되거나 관련이 없으며 Toolbox 0.0.94 및 podman 2.0.5가 있는 Arch에도 동일한 문제가 있습니다.

이것은 fedora- toolbox:f32 image를 사용하는 Silverblue 32에서 지금 저에게 일어나고 있습니다
도구 상자 버전: 0.0.93
포드맨 버전: 2.0.5

Podman 2.0.5가 Fedora 32에 들어왔기 때문입니다.

이와 같은 회귀를 포착하기 위해 podman 또는 도구 상자에 대한 몇 가지 테스트를 추가할 수 있습니까? Silverblue는 Toolbox를 사용하도록 권장하며 이를 위해서는 Toolbox가 gnome-terminal 자체만큼 안정적이어야 합니다.

Podman 또는 도구 상자에 대한 몇 가지 테스트를 추가할 수 있습니까?
이런 회귀를 잡아? Silverblue는 정말로 격려합니다.
Toolbox를 사용하려면 Toolbox가 필요합니다.
gnome-terminal 자체만큼 신뢰할 수 있습니다.

Podman 팀이 이전 버전과의 호환성에 대해 관심을 갖게 하거나 일부 변경이 Toolbox를 중단하는지 여부를 확인하는 것은 놀라울 정도로 힘든 싸움임이 입증되었습니다. @HarryMichal 은 지속적으로 파손을 추적하고 테스트를 추진하고 있지만 진행 속도가 느립니다.

Podman 또는 도구 상자에 대한 몇 가지 테스트를 추가할 수 있습니까?
이런 회귀를 잡아? Silverblue는 정말로 격려합니다.
Toolbox를 사용하려면 Toolbox가 필요합니다.
gnome-terminal 자체만큼 신뢰할 수 있습니다.

Podman 팀이 이전 버전과의 호환성에 대해 관심을 갖게 하거나 일부 변경이 Toolbox를 중단하는지 여부를 확인하는 것은 놀라울 정도로 힘든 싸움임이 입증되었습니다. @HarryMichal 은 지속적으로 파손을 추적하고 테스트를 추진하고 있지만 진행 속도가 느립니다.

이 문제를 피하는 한 가지 방법은 Silverblue가 podman에 대해 별도의 rpm 저장소를 갖고 도구 상자에 대한 회귀 테스트를 통과하는 업데이트만 허용하는 것입니다.

f32 업데이트는 언제쯤 되나요?

3 긍정적 카르마에 더 빨리 도달하십시오 :)

직접 추적할 수 있습니다 -> https://bodhi.fedoraproject.org/updates/FEDORA-2020-306addaac0

이 카르마 시스템은 나에게 새로운 것입니다. 어떻게 작동합니까?

bodhi 시스템에 로그인하고 업데이트에 대한 투표를 제공하려면 FAS ID( Fedora 계정 ID) 가 필요합니다. https://fedoraproject.org/wiki/Bodhi#Karma 참조

SilverBlue에서 지정된 패키지만 가져와서 테스트할 수 있나요? 패키지를 테스트하려면 리베이스해야 할 것 같습니다. 내 기본 시스템을 건드릴 필요 없이 패키지(가능한 경우 컨테이너 포함)를 테스트하는 모든 방법이 좋습니다.

SilverBlue에서 지정된 패키지만 가져와서 테스트할 수 있나요?
패키지를 테스트하려면 리베이스해야 할 것 같습니다.
패키지를 테스트하는 모든 방법(컨테이너 포함,
가능한 경우) 기본 시스템을 건드릴 필요 없이 괜찮습니다.

rpm-ostree override replace 및 rpm-ostree override reset 은(는) 친구입니다.

불행히도 컨테이너 내부에서 Podman 및 Toolbox와 같은 항목을 테스트할 수 없습니다.

@juanje 해결 방법에 대해 감사드립니다.

# Create the user
⬢[root<strong i="7">@toolbox</strong> /]# useradd --home-dir /home/vagrant/ --no-create-home --shell /bin/bash --uid 1000 --groups wheel vagrant

Silverblue 호스트에서 내 사용자를 위해 만든 유일한 변경 사항은 홈 디렉토리 /var/home/<user> 만드는 것이었습니다.

이거 다시 열어야 하나? 확실히 여전히 0.0.95에서 일어나고 있습니다. toolbox create 는 사용자를 게스트의 /etc/passwd에 넣는 것처럼 보이지만 /etc/group 항목을 복사하는 것을 잊어버립니다. 컨테이너의 echo 'martin:x:1000' | sudo tee -a /etc/group 와 같은 것이 수정됩니다.

https://github.com/containers/toolbox/issues/549#issuecomment -685740230에서 동일한 경험을 기록했습니다 -- 이것이 (일반적으로) sudo를 중단시키지 않기 때문에 거기에 주석을 달았습니다.

확실히 여전히 0.0.95에서 일어나고 있습니다. 도구 상자 만들기
사용자를 게스트의 /etc/passwd에 넣어도 괜찮지만 잊어버리십시오.
/etc/group 항목을 복사합니다. 같은 것
echo ' 마틴:x :1000' | 컨테이너의 sudo tee -a /etc/group 수정합니다.

무슨 일이야? 컨테이너를 입력할 때 다음 오류가 표시된다는 의미입니다.

/usr/bin/id: cannot find name for group ID 1000

https://github.com/containers/podman/issues/7389입니다.

/etc/login.defs 와 같은 항목을 올바르게 고려하지 않기 때문에 Toolbox 자체에 유사한 해결 방법을 추가하는 것을 꺼렸습니다.

아니면 제가 잘못 이해한 건가요?

@debarshiray : 포드맨 이슈 포인터 감사합니다! 그것이 실제로 근본 원인처럼 보입니다. 한편, 위의 해결 방법은 충분히 쉽습니다.