Qual capacidade do Linux é necessária para gravar em um dispositivo?

Question 1

FOWNERdeveria fazer isso. A menos que seu software esteja tendo problemas ao emitir ioctls para configurar o link (nesse caso, você provavelmente precisará de SYS_ADMINou TTY_CONFIG), o problema é apenas de permissões de arquivo.

Dito isto, FOWNERé umMUITOcapacidade perigosa de ceder. Qualquer coisa com essa capacidade pode ignorarTODOSverificações de permissões do sistema de arquivos.

Como alternativa, considere uma das seguintes opções se você conseguir executar esse contêiner com seu próprio usuário:

Adicione esse usuário a qualquer grupo que possua /dev/ttyACM0. Normalmente, esse grupo será chamado de algo como tty, serial, ou console, embora possa ser usbou hotplug. Esta é a opção mais fácil, mas é apenas um pouco mais segura do que usar recursos, porque esse grupo geralmente possui a propriedade dos nós de dispositivos para todos os dispositivos seriais e também pode possuir todos os nós de dispositivos terminais virtuais.
Escreva uma regra do udev para corresponder ao dispositivo em questão e adicione uma ACL a ela para permitir que o usuário no qual o contêiner está sendo executado possa acessá-lo. Este é o método mais seguro disponível, porque significa que o contêiner só pode acessar aquele nó de dispositivo específico. Se você tiver mais de um dispositivo USB ACM, certifique-se de combinar a combinação dos vários IDs de hardware, porque a ordem de enumeração dos dispositivos USB não é estável e geralmente varia de uma inicialização para outra.

Answer

FOWNERdeveria fazer isso. A menos que seu software esteja tendo problemas ao emitir ioctls para configurar o link (nesse caso, você provavelmente precisará de SYS_ADMINou TTY_CONFIG), o problema é apenas de permissões de arquivo.

Dito isto, FOWNERé umMUITOcapacidade perigosa de ceder. Qualquer coisa com essa capacidade pode ignorarTODOSverificações de permissões do sistema de arquivos.

Como alternativa, considere uma das seguintes opções se você conseguir executar esse contêiner com seu próprio usuário:

Adicione esse usuário a qualquer grupo que possua /dev/ttyACM0. Normalmente, esse grupo será chamado de algo como tty, serial, ou console, embora possa ser usbou hotplug. Esta é a opção mais fácil, mas é apenas um pouco mais segura do que usar recursos, porque esse grupo geralmente possui a propriedade dos nós de dispositivos para todos os dispositivos seriais e também pode possuir todos os nós de dispositivos terminais virtuais.
Escreva uma regra do udev para corresponder ao dispositivo em questão e adicione uma ACL a ela para permitir que o usuário no qual o contêiner está sendo executado possa acessá-lo. Este é o método mais seguro disponível, porque significa que o contêiner só pode acessar aquele nó de dispositivo específico. Se você tiver mais de um dispositivo USB ACM, certifique-se de combinar a combinação dos vários IDs de hardware, porque a ordem de enumeração dos dispositivos USB não é estável e geralmente varia de uma inicialização para outra.

Question 2

Mesmo adicionandotodosos recursos disponíveis não ajudam. Um contêiner privilegiado ainda é necessário. Verhttps://github.com/kubernetes/kubernetes/issues/60748para um problema do Kubernetes que rastreia essa deficiência.

Answer

Mesmo adicionandotodosos recursos disponíveis não ajudam. Um contêiner privilegiado ainda é necessário. Verhttps://github.com/kubernetes/kubernetes/issues/60748para um problema do Kubernetes que rastreia essa deficiência.

Qual capacidade do Linux é necessária para gravar em um dispositivo?

Responder1

Responder2

informação relacionada