<p dir="ltr">There could be a (potentially socket-activated) service that handles requests for image downloads.</p>
<br><div class="gmail_quote"><div dir="ltr">On Tue, May 31, 2016, 11:06 Brandon Philips <<a href="mailto:brandon@ifup.co">brandon@ifup.co</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello Everyone-<div><br></div><div>The rkt container engine wants to run with different permissions pre-start and start. In pre-start it needs to fetch/download the container image which is an unprivileged operation. In start it needs admin level permissions to start the container stage1 (e.g. systemd-nspawn) and mount the root overlayfs.</div><div><br></div><div>One way of accomplishing this is: </div><div><br></div><div><div><span style="line-height:1.5">ExecStartPre=/usr/bin/su rktfetchuser -c /usr/bin/rkt fetch <a href="http://quay.io/coreos/etcd" target="_blank">quay.io/coreos/etcd</a> blah blah</span><br></div><div>ExecStart=/usr/bin/rkt run $(COREOS_VERSIONS_ETCD_FULL) blah blah</div></div><div><br></div><div>The other way would be to create a fetch service and a run service but that is sort of clunky for users to configure.</div><div><br></div><div>Are there other mechanisms to not require the use of wrappers like su?</div><div><br></div><div>Thank You,</div><div><br></div><div>Brandon</div></div>
_______________________________________________<br>
systemd-devel mailing list<br>
<a href="mailto:systemd-devel@lists.freedesktop.org" target="_blank">systemd-devel@lists.freedesktop.org</a><br>
<a href="https://lists.freedesktop.org/mailman/listinfo/systemd-devel" rel="noreferrer" target="_blank">https://lists.freedesktop.org/mailman/listinfo/systemd-devel</a><br>
</blockquote></div>