Podman权限问题导致的403报错思路与解决

news2024/11/18 17:37:11

问题

podman运行镜像,端口映射、卷映射无误,但在运行访问测试容器内http接口报错403.

查阅系统日志,存在多处容器相关的selinux访问被拒绝错误,sealert提示需要为几个进程的对象添加临时规则。

考虑是否为selinux问题,禁用se后解决,启用se后复现。

容器运行时增加--pivileged选项也可正常运行无报错。

分析

根据podman手册解释,在进行卷映射时,podman默认不更改宿主机的卷及文件的安全上下文标签,从而将导致容器访问宿主机文件时被se拦截报错。

解决

-v 路径后增加:Z 标签,手动指定podman更改宿主机的卷及文件的安全上下文标签

podman run -v host-dir:container-dir:Z 

参考链接

 

Labeling systems like SELinux require that proper labels are placed on volume content mounted into a container. Without a label, the security system might prevent the processes running inside the container from using the content. By default, Podman does not change the labels set by the OS.

To change a label in the container context, add either of two suffixes :z or :Z to the volume mount. These suffixes tell Podman to relabel file objects on the shared volumes. The z option tells Podman that two or more containers share the volume content. As a result, Podman labels the content with a shared content label. Shared volume labels allow all containers to read/write content. The Z option tells Podman to label the content with a private unshared label Only the current container can use a private volume. Relabeling walks the file system under the volume and changes the label on each file, if the volume has thousands of inodes, this process takes a long time, delaying the start of the container. If the volume was previously relabeled with the z option, Podman is optimized to not relabel a second time. If files are moved into the volume, then the labels can be manually change with the chcon -R container_file_t PATH command.

https://docs.podman.io/en/latest/markdown/podman-run.1.htmlicon-default.png?t=N6B9https://docs.podman.io/en/latest/markdown/podman-run.1.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/831185.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

语义分割文献整理

2014年文献 1.论文题目《Semantic Image Segmentation with Deep Convolutional Nets and Fully Connected CRFs》 1.1.网络别名《DeepLabV1》 1.2.论文引用 Chen L C, Papandreou G, Kokkinos I, et al. Semantic image segmentation with deep convolutional nets and fu…

AI赋能转型升级 助力打造“数智辽宁”——首次大模型研讨沙龙在沈成功举行

当前,以“ChatGPT”为代表的大模型正在引领新一轮全球人工智能技术发展浪潮,推动人工智能从以专用小模型定制训练为主的“手工作坊时代”,迈入以通用大模型预训练为主的“工业化时代”,正不断加速实体经济智能化升级,深…

(自控原理)控制系统的数学模型

目录 一、时域数学模型 1、线性元件微分方程的建立 2、微分方程的求解方法​编辑 3、非线性微分方程的线性化 二、复域数学模型 1、传递函数的定义 2、传递函数的标准形式 3、系统的典型环节的传递函数 4、传递函数的性质 5、控制系统数学模型的建立 6、由传递函数求…

【C++】带三维重建和还原的RIS/PACS源码

【PACS】集成三维影像后处理功能,包括三维多平面重建、三维容积重建、三维表面重建、三维虚拟内窥镜、最大/小密度投影、心脏动脉钙化分析等功能。系统功能强大,代码完整。 一、RIS/PACS系统简介 RIS/PACS系统在预约登记、分诊叫号、技师检查、诊断报告…

面向开发人员的远程桌面:随时随地安全编写代码

随着数字世界的不断发展,传统意义上的“工作场所”概念正在发生重大转变。这种转变在科技行业尤其明显,开发人员和软件工程师越来越倾向于选择远程或混合办公模式。 在这次重大转变中,远程桌面软件经证明是一项足以影响远程办公的技术。通过…

YOLOv5改进系列(18)——更换Neck之AFPN(全新渐进特征金字塔|超越PAFPN|实测涨点)

【YOLOv5改进系列】前期回顾: YOLOv5改进系列(0)——重要性能指标与训练结果评价及分析 YOLOv5改进系列(1)——添加SE注意力机制

使用Golang实现一套流程可配置,适用于广告、推荐系统的业务性框架——简单应用

在诸如广告、推荐等系统中,我们往往会涉及过滤、召回和排序等过程。随着系统业务变得复杂,代码的耦合和交错会让项目跌入难以维护的深渊。于是模块化设计是复杂系统的必备基础。这篇文章介绍的业务框架脱胎于线上多人协作开发、高并发的竞价广告系统&…

java系列之list集合分组

文章目录 前言一、list是什么?二、list集合分组总结 前言 在Java编程中,List集合是一种常用的数据结构,用于存储一组元素。有时候,我们需要对List集合中的元素进行分组操作,即将相同属性或特征的元素归类到一组。这种…

金三银四好时节,python面试10K+能不能得到?

嗨害大家好鸭!我是小熊猫~ 金三银四好时节,面试10K能不能得到? 这次正逢面试季,这次给大家带来一个真实面试题 虽然最后上的班不一定是自己喜欢的, 但是工作还是要有哇! 第三方库: requests >>>…

【C++杂货铺】string使用指南

文章目录 前言一、介绍二、string类的常用接口说明2.1 常见的构造接口2.2 与容量有关的接口2.3 与对象访问及遍历有关的操作2.4 与对象修改有关的操作2.5 与查找有关的接口2.6 string类的非成员函数2.7 与类型转换有关的接口 前言 在C语言中,字符串是以\0结尾的一些…

Win10、11集体翻车,祖传Bug连关机都不能

基本可以确定的是,微软将在2024年推出或名为 Win12 的下一代 Windows 。 Win10、11 的更新跨度肉眼可见放缓,可频率嘛,仍然一月几更。 如果你没有禁用更新,应该和小蝾一样,下班关机时经常有熟悉的选项。 不过在大多数…

分享之python 线程

Threading用于提供线程相关的操作,线程是应用程序中工作的最小单元。 1、threading模块 threading 模块建立在 _thread 模块之上。thread 模块以低级、原始的方式来处理和控制线程,而 threading 模块通过对 thread 进行二次封装,提供了更方…

ansible常见模块的运用

ansible常见模块的运用 一:Ansible简介二:ansible 环境安装部署管理端安装 ansibleansible 目录结构配置主机清单配置密钥对验证 三:ansible 命令行模块1.command 模块在远程主机执行命令,不支持管道,重定向…

这所国字头双一流,根本招不满,学硕都没人报!

一、学校及专业介绍 中国民航大学,位于天津市,是民航局、天津市、教育部共建高校,是天津市“双一流”建设高校和高水平特色大学建设高校。 1.1 招生情况 2023年中国民航大学电子信息与自动化学院,初试考806信号与系统的一共有两…

Windows环境下创建定时任务执行Python脚本

一、环境 以下演示使用的环境说明 Windows 操作系统:Win10 Python 环境:Python 3.7.7 二、脚本 准备Python脚本如下: import sys import datetimeformat_time datetime.datetime.now()with open(file"forpy.log",mode"a&qu…

单月涨粉345万,7月抖音爆款技巧是什么?

近期,抖音电商官方发布「七夕好礼季」的玩法攻略,助力商家抢跑七夕。如今,各类营销节点,成为商家实现生意爆发的关键。 那么,在没有营销节点加持的7月,那些表现突出的主播,持续畅销的商品&#…

解决elementUI图标按钮调整宽高后图标没有居中的问题

解决elementUI图标按钮调整宽高后图标没有居中的问题 1.情景再现2.解决2.1 重新设置新的padding2.2 flex布局 1.情景再现 我是用elementui的图标按钮组件,但是我想要的大小和官方给到的大小不一致。所以我给图标设置了一个width: 16px;height: 16px;的属性值&#…

开学在即,这个超好用的中小学新生录取查询系统制作方法值得借鉴

即将开学,中小学负责招生的老师面临着新学年的招生工作。这是一项紧迫且重要的任务,需要老师们迅速而有效地应对。在新生录取过程中,有几个关键任务需要尽快完成。 首先,老师们需要录入新生的成绩信息。这包括学生的考试成绩、综…

算法通关村—二叉树处理每层元素的题目

1. 在每个树行中找最大值 给定一棵二叉树的根节点 root &#xff0c;请找出该二叉树中每一层的最大值。 输入: root [1,3,2,5,3,null,9] 输出: [1,3,9] 依然先写出层序遍历&#xff0c;只不过遍历的过程中需要保存当前一层的最大值。 public List<Integer> largestVa…

VLT:Vision-Language Transformer用于引用的视觉语言转换和查询生成分割

摘要 在这项工作中&#xff0c;我们解决了引用分割的挑战性任务。引用分割中的查询表达式通常通过描述目标对象与其他对象的关系来表示目标对象。因此&#xff0c;为了在图像中的所有实例中找到目标实例&#xff0c;模型必须对整个图像有一个整体的理解。为了实现这一点&#…