5.16. Podman에서 사전 실행 후크 구성
플러그인 스크립트를 생성하여 컨테이너 작업을 세부적으로 제어할 수 있으며, 특히 컨테이너 이미지 가져오기, 실행 또는 나열과 같은 권한이 없는 작업을 차단할 수 있습니다.
/etc/containers/podman_preexec_hooks.txt
파일은 관리자가 생성해야 하며 비어 있을 수 있습니다. /etc/containers/podman_preexec_hooks.txt
가 없으면 플러그인 스크립트가 실행되지 않습니다.
플러그인 스크립트에 다음 규칙이 적용됩니다.
- 루트 소유여야 하며 쓸 수 없어야 합니다.
-
/usr/libexec/podman/pre-exec-hooks
및/etc/containers/pre-exec-hooks
디렉터리에 있어야 합니다. - 순차적 및 영숫자 순서로 실행됩니다.
-
모든 플러그인 스크립트에서 0 값을 반환하면
podman
명령이 실행됩니다. -
플러그인 스크립트 중 0이 아닌 값을 반환하면 오류가 있음을 나타냅니다.
podman
명령을 종료하고 처음 시작하는 스크립트의 0이 아닌 값을 반환합니다. 다음 이름 지정 규칙을 사용하여 스크립트를 올바른 순서로 실행하는 것이 좋습니다.
DDD_name.lang
, 여기서:-
DDD
는 스크립트 실행 순서를 나타내는 10진수입니다. 필요한 경우 하나 또는 두 개의 선행 0을 사용합니다. -
name
은 플러그인 스크립트의 이름입니다. -
lang
(선택 사항)은 지정된 프로그래밍 언어의 파일 확장자입니다. 예를 들어 플러그인 스크립트의 이름은 다음과 같습니다.001-check-groups.sh
.
-
플러그인 스크립트는 생성 시 유효합니다. 플러그인 스크립트 이전에 생성된 컨테이너는 영향을 받지 않습니다.
사전 요구 사항
-
container-tools
meta-package가 설치되어 있습니다.
절차
001-check-groups.sh
라는 스크립트 플러그인을 생성합니다. 예를 들면 다음과 같습니다.#!/bin/bash if id -nG "$USER" 2> /dev/null | grep -qw "$GROUP" 2> /dev/null ; then exit 0 else exit 1 fi
- 이 스크립트는 사용자가 지정된 그룹에 있는지 확인합니다.
-
USER
및GROUP
은 Podman에서 설정한 환경 변수입니다. -
001-check-groups.sh
스크립트에서 제공하는 종료 코드는podman
바이너리에 제공됩니다. -
podman
명령을 종료하고 처음 시작하는 스크립트의 0이 아닌 값을 반환합니다.
검증
001-check-groups.sh
스크립트가 올바르게 작동하는지 확인합니다.$ podman run image ...
사용자가 올바른 그룹에 없는 경우 다음 오류가 표시됩니다.
external preexec hook /etc/containers/pre-exec-hooks/001-check-groups.sh failed