Cara Install Podman & Setup Quadlets Rootless di Debian

Dalam dunia container modern, keamanan menjadi perhatian utama. Podman hadir sebagai solusi populer karena memungkinkan kita menjalankan container tanpa hak akses root (rootless). Ini adalah terobosan besar dari perspektif keamanan: secara teori, jika sebuah container berhasil diretas dan penyerang mencoba keluar ke sistem operasi induk, mereka hanya bisa melakukan apa yang menjadi hak akses user yang menjalankan container tersebut. Artinya, mereka tidak bisa mengganti server SSH, memasang keylogger, atau mengubah aturan firewall kecuali ada celah bug pada software.

Dengan fitur andalannya yang bernama Quadlets, Podman semakin memudahkan pengguna non-root untuk menjalankan container sebagai service yang persisten. Lalu, bagaimana cara menginstall Podman di komputer berbasis Debian dan melakukan setup Quadlets dengan benar? Kami akan memandu Anda langkah demi langkah berdasarkan pengalaman langsung di lapangan.

Persiapan Awal: Install Podman di Debian

Cara instalasi Podman sangat bergantung pada sistem operasi yang Anda gunakan. Dalam panduan ini, kami menggunakan Debian 13. Meskipun banyak distribusi berbasis Debian di luar sana, kami lebih memilih stabilitas daripada teknologi yang terlalu mutakhir. Perlu dicatat bahwa Quadlets adalah fitur dari Systemd, sehingga cakupan kompatibilitasnya sangat luas. Sebagai contoh, kami juga sering mendemonstrasikan Quadlets menggunakan Fedora CoreOS untuk anggota laboratorium.

Karena Debian menggunakan manajer paket APT, langkah pertama yang wajib dilakukan adalah memperbarui informasi paket untuk memastikan kita mendapatkan versi terbaru:

sudo apt update

Setelah itu, lakukan instalasi Podman dengan perintah sederhana berikut:

sudo apt install podman -y

Untuk memastikan semuanya berfungsi dengan baik, jalankan tes sederhana:

podman run hello-world

Membuat Akun User Khusus untuk Keamanan Maksimal

Menjalankan container menggunakan akun user yang memiliki hak sudo akan menghilangkan manfaat utama Podman. Oleh karena itu, langkah krusial berikutnya adalah membuat akun user terpisah yang khusus digunakan untuk menjalankan container. Akun ini akan memiliki direktori home dan shell bash, namun tidak akan kami beri password. Mengapa? Karena kami tidak ingin seorang pun bisa login secara langsung sebagai user tersebut. Praktik terbaik ini memungkinkan otomatisasi penuh menggunakan Ansible, sehingga kita hanya perlu fokus pada autentikasi akun Ansible saja.

sudo useradd -m -s /bin/bash -N containeruser

Salah satu daya tarik utama Quadlets adalah kemampuannya dalam lingkungan tim. Sebelumnya, anggota tim tidak bisa membuat service account sendiri dan harus bergantung pada administrator sistem. Dengan Quadlets, setiap pengguna dapat mengelola service non-root mereka sendiri secara mandiri. Meskipun superuser tetap bisa membuat service yang berjalan sebagai user non-root, pendekatan ini secara signifikan mengurangi risiko human error, seperti tanpa sengaja menjalankan container sebagai root.

Mengaktifkan Linger untuk Ketahanan Service

Meskipun tujuan awal container mungkin berbeda, dalam praktiknya container sering berjalan 24/7 untuk men-sandbox aplikasi. Dalam situasi tersebut, container harus bisa otomatis menyala kembali saat komputer reboot atau dinyalakan dari kondisi mati. Anda tentu tidak ingin harus menunggu user login terlebih dahulu agar service berjalan. Di sinilah fitur lingering perlu diaktifkan untuk akun user yang telah kita buat:

sudo loginctl enable-linger containeruser

Setelah lingering aktif, kita bisa beralih ke akun non-root tersebut. Ada praktik penting yang perlu diperhatikan di sini. Mungkin Anda pernah melihat atau menggunakan perintah seperti sudo su - containeruser. Berdasarkan pengalaman dan masukan komunitas, cara tersebut sudah dianggap kurang tepat seiring evolusi perintah sudo. Metode yang lebih baik untuk berpindah akun dan memastikan environment user terbawa dengan benar adalah:

sudo machinectl shell containeruser@

Ini sangat vital untuk memastikan semua variabel environment, termasuk yang dibutuhkan Podman, berfungsi sempurna di sesi berikutnya.

Setup Quadlets: Mengubah Container Menjadi Service

Karena Podman tidak menggunakan daemon bawaan untuk memonitor container seperti platform lain, container yang Anda buat tidak akan otomatis menyala saat booting. Solusinya adalah menjalankan container sebagai service Systemd, dan di situlah peran Quadlets. Harus diakui, beradaptasi dengan Quadlets membutuhkan sedikit waktu, terutama jika Anda sudah terbiasa membuat file service Systemd secara manual. Perbedaannya memang minor, namun mudah terlupakan.

Dalam contoh ini, kita akan membuat container nginx dasar. Pertama, buat direktori untuk menyimpan halaman web:

mkdir -p ~/nginx-web

Lalu buat halaman utama sederhana:

echo "Halo dari Podman Rootless!" > ~/nginx-web/index.html

Setiap user memiliki folder khusus untuk menyimpan file Quadlet. Buat folder tersebut jika belum ada:

mkdir -p ~/.config/containers/systemd

Sekarang, buat file Quadlet untuk nginx. Gunakan editor teks favorit Anda:

nano ~/.config/containers/systemd/nginx.container

Isi file dengan konfigurasi berikut, lalu simpan:

[Unit]
Description=Webserver Nginx Rootless

[Container]
Image=docker.io/library/nginx:latest
PublishPort=8080:80
Volume=%h/nginx-web:/usr/share/nginx/html:Z

[Service]
Restart=always

[Install]
WantedBy=default.target

Struktur ini sekilas mirip file service biasa, bedanya terletak pada bagian [Container]. Di sini kita mendefinisikan image nginx, memetakan port 8080 di host ke port 80 di container, serta me-mount folder halaman web yang sudah dibuat.

Mengatasi Kegagalan Variabel Environment

Sebelum menjalankan service, kegagalan sering terjadi karena variabel environment yang tidak terdefinisi. Salah satu solusi terbaik adalah mendeklarasikannya di file .bashrc agar selalu ada di setiap sesi. Edit file tersebut:

nano ~/.bashrc

Tambahkan baris berikut di akhir file:

export XDG_RUNTIME_DIR=/run/user/$(id -u)

Tips praktis: Anda tidak perlu logout dan login ulang. Cukup muat ulang file konfigurasinya:

source ~/.bashrc

Menjalankan dan Menguji Service

Karena ada perubahan service, kita perlu memuat ulang daemon Systemd level user:

systemctl --user daemon-reload

Sekarang, jalankan dan aktifkan service container kita agar selalu menyala saat booting:

systemctl --user start nginx.service
systemctl --user enable nginx.service

Periksa statusnya untuk memastikan tidak ada error:

systemctl --user status nginx.service

Untuk uji coba akhir, buka browser atau gunakan curl dari host Anda menuju port 8080. Anda seharusnya melihat halaman "Halo dari Podman Rootless!" yang telah kita buat. Ini membuktikan bahwa container nginx berjalan dengan aman sebagai user non-root, terisolasi dari sistem utama.

Kesimpulan

Dengan mengikuti panduan ini, Anda telah berhasil membangun lingkungan container yang jauh lebih aman menggunakan Podman dan Quadlets di Debian. Pendekatan rootless yang dikombinasikan dengan service Systemd memastikan aplikasi Anda tetap berjalan secara persisten tanpa mengorbankan prinsip keamanan dasar. Baik Anda seorang administrator sistem yang mengelola server produksi atau pengembang yang ingin melakukan sandboxing aplikasi, metodologi ini memberikan fondasi yang kokoh untuk infrastruktur kontainerisasi modern.

Pertanyaan yang Sering Diajukan (FAQ)

Apa perbedaan utama Podman dengan Docker?

Perbedaan paling signifikan adalah arsitektur daemon-nya. Docker memerlukan daemon yang berjalan dengan hak root, sementara Podman bersifat daemonless dan dapat menjalankan container sebagai user biasa (rootless), sehingga secara fundamental lebih aman.

Apakah Quadlets hanya bisa digunakan di Debian?

Tidak. Quadlets adalah fitur dari Systemd, sehingga dapat berjalan di berbagai distribusi Linux modern yang menggunakan Systemd, seperti Fedora, RHEL, CentOS, dan Arch Linux.

Mengapa saya harus mengaktifkan linger untuk user container?

Tanpa linger, service user hanya akan berjalan saat user tersebut sedang login. Dengan mengaktifkan linger, service akan tetap berjalan di latar belakang meskipun user tidak sedang login, dan otomatis menyala saat sistem booting.

Apa yang terjadi jika saya lupa menambahkan variabel XDG_RUNTIME_DIR?

Service kemungkinan besar akan gagal dijalankan karena Podman tidak dapat menemukan direktori runtime yang sesuai untuk menyimpan socket dan file sementara milik user non-root tersebut.

Apakah aman menjalankan container tanpa password untuk usernya?

Ya, ini adalah praktik keamanan yang disarankan. Dengan tidak memberikan password, Anda mencegah akses login interaktif langsung ke akun tersebut. Manajemen container tetap bisa dilakukan melalui sudo atau alat otomatisasi seperti Ansible dari akun administrator yang sah.