<div dir="ltr">Hello Everyone-<div><br></div><div>The rkt container engine wants to run with different permissions pre-start and start. In pre-start it needs to fetch/download the container image which is an unprivileged operation. In start it needs admin level permissions to start the container stage1 (e.g. systemd-nspawn) and mount the root overlayfs.</div><div><br></div><div>One way of accomplishing this is: </div><div><br></div><div><div><span style="line-height:1.5">ExecStartPre=/usr/bin/su rktfetchuser -c /usr/bin/rkt fetch <a href="http://quay.io/coreos/etcd">quay.io/coreos/etcd</a> blah blah</span><br></div><div>ExecStart=/usr/bin/rkt run $(COREOS_VERSIONS_ETCD_FULL) blah blah</div></div><div><br></div><div>The other way would be to create a fetch service and a run service but that is sort of clunky for users to configure.</div><div><br></div><div>Are there other mechanisms to not require the use of wrappers like su?</div><div><br></div><div>Thank You,</div><div><br></div><div>Brandon</div></div>