Podman-Container als Login-Shell mit podmansh
Mit einem Podman-Container als Login-Shell isolieren Sie Nutzer auf gemeinsam genutzten Systemen und erzeugen Umgebungen fĂĽr Entwickler oder Linux-Lerner.
Podman ist eine Container-Engine aus der Red-Hat-Welt, die sich auf die Fahne geschrieben hat, durch den Fokus auf Rootless Container und Verzicht auf einen Daemon, die Sicherheitsrisiken beim Container-Betrieb zu minimieren. Rootless Container können von unprivilegierten Benutzern ausgeführt werden und spielen Prozessen mit Root-Rechten im Container vor, dass Sie von root ausgeführt werden. Tatsächlich segeln sie auf dem Host aber unter der Flagge eines unprivilegierten Benutzers.
Außerdem hält sich Podman (Dokumentation) im Unterschied zu Docker an Linux-Konventionen wie fork-exec und ist stärker auf das Zusammenspiel mit systemd ausgelegt. Mit der neuen Version 4.6 führt Podman ein neues Feature namens podmansh ein, das Rootless-Container und systemd-Anbindung geschickt zusammenbringt und sich insbesondere an Administratoren gemeinsam genutzter Systeme richtet.
Mit podmansh setzen Sie Benutzern eine angepasste Login-Shell in einem Container vor, sobald sich diese lokal oder via SSH am System anmelden. Das kann beispielsweise nützlich sein, um den Zugriff auf Systemressourcen oder bestimmte Daten zu begrenzen, Entwicklern eine reproduzierbare Umgebung bereitzustellen, die bereits alle nötigen Werkzeuge enthält oder um Linux-Lernern einen flüchtigen und isolierten Spielplatz vorzusetzen. Sie können dem Benutzer unter Fedora auch ein Ubuntu-Userland oder das beliebiger anderer Linux-Distribution bereitstellen. Der Kreativität sind wenig Grenzen gesetzt, schließlich können Sie sich aus dem riesigen Fundus fertiger Images Ihrer Lieblings-Container-Registry bedienen oder Ihren Wunschcontainer selbst bauen.
Das war die Leseprobe unseres heise-Plus-Artikels "Podman-Container als Login-Shell mit podmansh". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.