пн, 3 нояб. 2025 г. в 20:01, Peter Pentchev <[email protected]>: > Думаю, основная причина запускать демона с правах юзера в том, что > так процесы в контейнерах тривиально имеют права доступа с файлах > того же юзера. Как Вы думаете подавать файлы, когда запускаете > контейнер? Или у Вас все в имидже?
Если речь идет про имиджи юзера (не знаю, там какой-нить zoom в контейнере запустить), то да, это проблема, но тут как раз вполне пригодно использовать docker-демона именно этого юзера. В моём же случае речь про запуск системных сервисов с пониженными привилегиями. То есть конфиги в моем представлении будут браться из условного /etc, где они лежат с правами рута и для сервиса они являются read only. Если сервис сам вырабатывает какие-то данные, то они будут храниться в каком-нибудь промапленном каталоге с правами этого специального докерного юзера. > (inb4: docker cp в общем не вариант, слишком мудно) > > Может, я слишком влияюсь тем, что мне нужно - я очень часто > запускаю контейнера чтобы запустить какою-то программу, которая > берет какое-то множество файлов, обрабатывает, и создает какое-то > множество других файлов. Если Вам нужно прежде всего запускать > каких-то сервисов, то, да, мой вопрос не очень важен - все файлы > будут принадлежать специальному юзеру. Немного оффтоп, но коли вы в этом имеете опыт, то может быть сталкивались с такой проблемкой - я пытался запускать zoom в докере, и всё бы хорошо, но он не видит камеры. Сокет pipewire прокидывал в контейнер, девайсы камер тоже. Но не видит и всё. Пробовал ему даже strace делать, но особо не увидел в этой тонне логов, куда он пытается тыкаться, чтобы подцепить камеры. -- With best regards Maksim Dmitrichenko
