<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace">Control: fixed -1 2.2.0+dfsg1-1</div><div class="gmail_default" style="font-family:courier new,monospace">Control: forwarded -1 <a href="https://github.com/containers/podman/issues/7747">https://github.com/containers/podman/issues/7747</a></div><div class="gmail_default" style="font-family:courier new,monospace"><br></div><div class="gmail_default" style="font-family:courier new,monospace">Thanks for the clarification. With this, I was able to reproduce the issue in unstable, and confirm its absence with the podma 2.2 package in experimental. I've found a patch on the github issue that resolves the issue in 2.1.<br><br>thanks again for your help!</div><div class="gmail_default" style="font-family:courier new,monospace">-rt</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Dec 19, 2020 at 3:09 PM adamo <<a href="mailto:adamoswick@protonmail.com">adamoswick@protonmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Reinhard,<br>
<br>
<br>
I was intending to open a bug report after contacting you earlier but someone appears to have beaten me to it!<br>
<br>
<br>
I'm still able to reproduce this on my end with the following.<br>
<br>
---------------------------------------------------------------<br>
root@podman:~# podman run <a href="http://docker.io/alpine" rel="noreferrer" target="_blank">docker.io/alpine</a> /bin/echo "Hello"<br>
Hello<br>
root@podman:~# adduser --uid 1010 bugtest --gecos "" --no-create-home --disabled-login --disabled-password<br>
Adding user `bugtest' ...<br>
Adding new group `bugtest' (1010) ...<br>
Adding new user `bugtest' (1010) with group `bugtest' ...<br>
Not creating home directory `/home/bugtest'.<br>
root@podman:~# podman run --user 1010 <a href="http://docker.io/alpine" rel="noreferrer" target="_blank">docker.io/alpine</a> /bin/echo "Hello"<br>
Error: container_linux.go:370: starting container process caused: apply caps: operation not permitted: OCI runtime permission denied error<br>
---------------------------------------------------------------<br>
<br>
This is a fresh image I've pulled and still occurs when running as the user 'nobody' as per your example.<br>
<br>
I've also tried the steps taken in your example (with an additional step to run the container) and managed to reproduce the error.<br>
<br>
-----------------------------<br>
root@podman:~# cat Dockerfile<br>
FROM <a href="http://docker.io/debian" rel="noreferrer" target="_blank">docker.io/debian</a><br>
USER nobody<br>
RUN id<br>
root@podman:~# podman rm -a<br>
root@podman:~# podman build -f Dockerfile<br>
STEP 1: FROM <a href="http://docker.io/debian" rel="noreferrer" target="_blank">docker.io/debian</a><br>
Getting image source signatures<br>
Copying blob 6c33745f49b4 done<br>
Copying config 6d6b00c222 done<br>
Writing manifest to image destination<br>
Storing signatures<br>
STEP 2: USER nobody<br>
--> de292136a39<br>
STEP 3: RUN id<br>
uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)<br>
STEP 4: COMMIT<br>
--> b08e47fc955<br>
b08e47fc955ccfe7a3c164e9fbd2068758ee145e39ffcc1a5c95d4a53ad4144d<br>
root@podman:~# podman run b08e47fc955ccfe7a3c164e9fbd2068758ee145e39ffcc1a5c95d4a53ad4144d /bin/echo "Hello"<br>
Error: container_linux.go:370: starting container process caused: apply caps: operation not permitted: OCI runtime permission denied error<br>
-----------------------------<br>
<br>
While I don't think it's relevant, I've had this issue with both a VM on Linode (which I've upgraded from Debian 10 to bullseye) and on a local VM which was created directly from a "testing" iso.<br>
<br>
------------------------------------------<br>
root@podman:~# cat /etc/os-release<br>
PRETTY_NAME="Debian GNU/Linux bullseye/sid"<br>
NAME="Debian GNU/Linux"<br>
ID=debian<br>
HOME_URL="<a href="https://www.debian.org/" rel="noreferrer" target="_blank">https://www.debian.org/</a>"<br>
SUPPORT_URL="<a href="https://www.debian.org/support" rel="noreferrer" target="_blank">https://www.debian.org/support</a>"<br>
BUG_REPORT_URL="<a href="https://bugs.debian.org/" rel="noreferrer" target="_blank">https://bugs.debian.org/</a>"<br>
------------------------------------------<br>
<br>
As mentioned, this appears to have been discussed in the issue <a href="https://github.com/containers/podman/issues/7747" rel="noreferrer" target="_blank">https://github.com/containers/podman/issues/7747</a> on Github.<br>
<br>
If you need any more information from my end, please let me know.<br>
<br>
Thanks for your help with this.<br>
<br>
Regards,<br>
Adam.<br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">regards,<br>    Reinhard</div></div>