问题背景 #

在Podman环境下，仅通过docker-compose.yml添加设备映射devices: - /dev/ttyUSB0:/dev/ttyUSB0后，容器内的/dev/ttyUSB0会归属于nobody:nobody，导致进程无法正常访问设备。需要找到无需赋予privileged权限的最小安全配置方案。

核心原理 #

宿主机上的/dev/ttyUSB0通常属于dialout用户组（可通过ls -l /dev/ttyUSB0查看权限），该组拥有设备的读写权限。容器内进程需要加入这个组才能获得访问权限，同时Podman的用户命名空间隔离需要适配，但无需关闭隔离或提升全局权限。

最小配置方案 #

1. 获取宿主机设备的组ID（GID） #

执行以下命令获取dialout组的GID：

getent group dialout | cut -d: -f3

例如输出为100，后续配置将使用这个值。

2. docker-compose.yml 配置 #

以下是兼容Podman和Docker Compose的最小配置：

version: '3.8'
services:
  your-service-name:
    image: your-image:tag
    # 仅映射目标设备，不开放所有设备（最小设备暴露）
    devices:
      - /dev/ttyUSB0:/dev/ttyUSB0
    # 将容器内进程加入宿主机的dialout组，获得设备读写权限
    group_add:
      - "100"  # 替换为上一步获取的GID
    # Podman-compose专属配置（Docker Compose无需添加）
    # keep-groups: true  # 保留宿主机用户的附加组（仅适用于podman-compose）

关键参数说明 #

• devices：仅映射指定的单个设备，而非开放所有宿主机设备，比privileged权限更安全，符合最小权限原则。
• group_add：让容器内进程加入宿主机的dialout组（设备的权限组），无需修改容器内用户或提升全局权限，是解决权限问题的核心。
• 无需启用的高风险/无关参数：
  • privileged: true：会赋予容器几乎所有宿主机权限，完全违背安全原则，绝对避免使用。
  • userns_mode: host：关闭用户命名空间隔离，会降低容器安全性，group_add已能解决权限问题，无需启用。
  • cgroup相关配置：仅用于资源限制，与设备访问权限无关，无需额外配置。

验证步骤 #

1. 启动容器后，进入容器执行ls -l /dev/ttyUSB0，确认设备的组为dialout（或对应GID的组）。
2. 使用串口工具（如screen、minicom）或应用程序测试设备访问，确认读写正常。

内容的提问来源于stack exchange，提问作者trya2l