Podman이 실행하는 공식 nginx 도커 이미지를 기록하는 방법

Question

podman exec nginx ...가장 간단한 해결책은 아마도 다음과 같이 사용을 바꾸는 것입니다 podman kill.

/var/log/nginx/*.log {
 hourly
 missingok
 rotate 24
 compress
 delaycompress
 notifempty
 su root root
 create 0644
 sharedscripts
 postrotate
    podman kill --signal USR1 nginx
 endscript
}

podman kill이는 지정된 신호가 nginx인 컨테이너의 PID 1로 전송되기 때문에 작동합니다 . 컨테이너 에 들어갈 필요도 없고 /var/run/nginx.pid컨테이너에 전혀 들어갈 필요도 없으므로 "OCI 권한 거부" 오류를 일으키는 문제를 피할 수 있습니다.

근본적인 문제는 (Rocky 9) logrotate에서 볼 수 있는 다양한 보호 기능을 사용하여 서비스가 실행되고 있다는 것입니다./lib/systemd/system/logrotate.service

[Service]
Type=oneshot
ExecStart=/usr/sbin/logrotate /etc/logrotate.conf

# performance options
Nice=19
IOSchedulingClass=best-effort
IOSchedulingPriority=7

# hardening options
#  details: https://www.freedesktop.org/software/systemd/man/systemd.exec.html
#  no ProtectHome for userdir logs
#  no PrivateNetwork for mail deliviery
#  no NoNewPrivileges for third party rotate scripts
#  no RestrictSUIDSGID for creating setgid directories
LockPersonality=true
MemoryDenyWriteExecute=true
PrivateDevices=true
PrivateTmp=true
ProtectClock=true
ProtectControlGroups=true
ProtectHostname=true
ProtectKernelLogs=true
ProtectKernelModules=true
ProtectKernelTunables=true
ProtectSystem=full
RestrictNamespaces=true
RestrictRealtime=true

주요 제한 사항은 RestrictNamespaces=true다음과 같은 옵션입니다.문서:

이 장치의 프로세스가 Linux 네임스페이스 기능에 액세스하지 못하도록 제한합니다...true인 경우 모든 유형의 네임스페이스에 대한 액세스가 금지됩니다.

무엇보다도 이는 대체 설치 네임스페이스에 대한 액세스를 차단하므로 podman exec작동하지 않습니다. systemd 재정의 단위를 사용하여 제한을 제거할 수 있지만 podman kill변경 사항이 더 적기 때문에 사용하는 것이 더 깔끔합니다.

Answer 1