Какая возможность Linux необходима для записи на устройство?

Question 1

FOWNERдолжно сделать это. Если только у вашего программного обеспечения нет проблем с выдачей ioctl для настройки ссылки (в этом случае вам, вероятно, понадобится либо , SYS_ADMINлибо TTY_CONFIG), проблема заключается исключительно в разрешениях на файлы.

Тем не менее, FOWNERэтоОЧЕНЬопасная способность выдавать. Все, что обладает такой способностью, может обойтиВСЕпроверка прав доступа к файловой системе.

В качестве альтернативы рассмотрите один из следующих вариантов, если вы можете запустить этот контейнер под своим собственным пользователем:

Добавьте этого пользователя в любую группу, которой принадлежит /dev/ttyACM0. Обычно эта группа будет называться как-то вроде tty, serial, или console, хотя вместо этого она может быть usbили hotplug. Это самый простой вариант, но он лишь немного безопаснее, чем использование возможностей, поскольку эта группа обычно владеет узлами устройств для всех последовательных устройств и может дополнительно владеть всеми узлами виртуальных терминальных устройств.
Напишите правило udev для сопоставления с рассматриваемым устройством и добавьте в него ACL, чтобы разрешить пользователю, под которым запущен контейнер, доступ к нему. Это самый безопасный из доступных методов, поскольку он означает, что контейнер может получить доступ только к этому конкретному узлу устройства. Если у вас более одного USB-устройства ACM, убедитесь, что вы сопоставляете комбинацию различных идентификаторов оборудования, поскольку порядок перечисления USB-устройств нестабилен и обычно меняется от одной загрузки к другой.

Answer

FOWNERдолжно сделать это. Если только у вашего программного обеспечения нет проблем с выдачей ioctl для настройки ссылки (в этом случае вам, вероятно, понадобится либо , SYS_ADMINлибо TTY_CONFIG), проблема заключается исключительно в разрешениях на файлы.

Тем не менее, FOWNERэтоОЧЕНЬопасная способность выдавать. Все, что обладает такой способностью, может обойтиВСЕпроверка прав доступа к файловой системе.

В качестве альтернативы рассмотрите один из следующих вариантов, если вы можете запустить этот контейнер под своим собственным пользователем:

Добавьте этого пользователя в любую группу, которой принадлежит /dev/ttyACM0. Обычно эта группа будет называться как-то вроде tty, serial, или console, хотя вместо этого она может быть usbили hotplug. Это самый простой вариант, но он лишь немного безопаснее, чем использование возможностей, поскольку эта группа обычно владеет узлами устройств для всех последовательных устройств и может дополнительно владеть всеми узлами виртуальных терминальных устройств.
Напишите правило udev для сопоставления с рассматриваемым устройством и добавьте в него ACL, чтобы разрешить пользователю, под которым запущен контейнер, доступ к нему. Это самый безопасный из доступных методов, поскольку он означает, что контейнер может получить доступ только к этому конкретному узлу устройства. Если у вас более одного USB-устройства ACM, убедитесь, что вы сопоставляете комбинацию различных идентификаторов оборудования, поскольку порядок перечисления USB-устройств нестабилен и обычно меняется от одной загрузки к другой.

Question 2

Даже добавиввсеимеющиеся возможности не помогают. Все еще нужен привилегированный контейнер. Смотретьhttps://github.com/kubernetes/kubernetes/issues/60748для проблемы Kubernetes, которая отслеживает этот недостаток.

Answer

Даже добавиввсеимеющиеся возможности не помогают. Все еще нужен привилегированный контейнер. Смотретьhttps://github.com/kubernetes/kubernetes/issues/60748для проблемы Kubernetes, которая отслеживает этот недостаток.

Какая возможность Linux необходима для записи на устройство?

решение1

решение2

Связанный контент