Zum sicheren Betrieb eines Servers gehört, dass alle Ports der Firewall geschlossen sind und nur bei Bedarf mit einer Regel geöffnet werden. Wer schon einmal gesehen hat, wie Docker sich in diese Regeln einmischt und dann ggf. von einer KI ein "privileged: true" empfohlen bekam, bekam ebenfalls spontan Sehnsucht nach dem Betrieb im rootless mode. Doch so einfach wie das klingt, ist es dann leider doch nicht.
Im Gegensatz zu Docker verspricht Podman den Betrieb von Containern, ohne dabei Root-Privilegien zu benötigen. Statt systemweit geltende Firewall-Regeln zu setzen, öffnet Podman den benötigten Port mit normalen User-Berechtigungen im unprivilegierten Bereich und leitet die Netzwerkanfragen in seinen eigenen Netzwerk-Namespace um. Da Podman die standardmäßig geschlossenen Ports in der Systemfirewall somit nicht selber öffnen kann, muss dies händisch erledigt werden oder Podman, wie Docker, mit Root-Rechten betrieben werden.
Doch das Setzen der Firewallregeln war der Beginn einer Reise durch den Linux Netzwerk-Stack, an dessen Ende ich mich doch wieder am Anfang fand.
Von dieser Reise entlang der Routen durch die Netzwerk-Namespaces berichtet Oro euch in diesem Monat außer der Reihe am vorletzten Donnerstag, den 19. März , in unseren Räumen im Chaos Computer Club Cologne [1] . Beginn ist wie gewohnt um 20:00 Uhr . Wir freuen uns auf Euch!
links:

[1] http://koeln.ccc.de/c4/faq/index.xml#anreise
--
c4 - Update: Neuigkeiten von der Webseite des CCCC - https://koeln.ccc.de/
Von dieser Liste abmelden: update-unsubscribe@koeln.ccc.de
Einstellungen ändern: https://mail.koeln.ccc.de/postorius/lists/update.koeln.ccc.de/
Feedback und Kontakt: mail@koeln.ccc.de