¿Cómo configuro el valor umask para un contenedor?
Síntoma
Un contenedor se inicia en modo tailf /dev/null y el permiso del directorio es 700 después de ejecutar manualmente el script de inicio. Si Kubernetes inicia el contenedor sin tailf, el permiso de directorio obtenido es 751.
Solución
La razón es que los valores umask establecidos en los dos modos de inicio anteriores son diferentes. Por lo tanto, los permisos en los directorios creados son diferentes.
El valor umask se utiliza para establecer el permiso predeterminado para un archivo o directorio recién creado. Si el valor umask es demasiado pequeño, los usuarios del grupo u otros usuarios tendrán permisos excesivos, lo que plantea amenazas de seguridad para el sistema. Por lo tanto, el valor umask predeterminado para todos los usuarios se establece en 0077. Es decir, el permiso predeterminado en los directorios creados por los usuarios es 700 y el permiso predeterminado en los archivos es 600.
Puede agregar el siguiente contenido al script de inicio para establecer el permiso en el directorio creado a 700:
- Agregue umask 0077 al archivo /etc/bashrc y a todos los archivos de /etc/profile.d/.
- Ejecute el siguiente comando:
echo "umask 0077" >> $FILE
FILE indica el nombre del archivo, por ejemplo, echo "umask 0077" >> /etc/bashrc.
- Establezca el propietario y el grupo del archivo /etc/bashrc y todos los archivos de /etc/profile.d/ en root.
- Ejecute el siguiente comando:
chown root.root $FILE
Configuración del contenedor Preguntas frecuentes
- ¿Cuándo se utiliza el procesamiento previo a la parada?
- ¿Cómo configuro un FQDN para acceder a un contenedor especificado en el mismo espacio de nombres?
- ¿Qué debo hacer si las sondas de chequeo médico fallan ocasionalmente?
- ¿Cómo configuro el valor umask para un contenedor?
- ¿Qué puedo hacer si se informa de un error cuando se inicia un contenedor desplegado después de que se especifique el parámetro de memoria de pila de inicio de JVM para ENTRYPOINT en Dockerfile?
- ¿Qué es el mecanismo de reintento cuando CCE no puede iniciar un pod?
Comentarios
¿Le pareció útil esta página?
Deje algún comentariomore