Lxc: Ein paar Fragen

schorsch_76 · Beitrag von **schorsch_76** » 15.08.2019 07:29:26

Hallo Kollegen,

Ich überlege ob ich meine VMs auf dem Server auf lxc umstelle. Zuhause habe ich das schon mal ausprobiert das hat auch gut funktioniert.
a) Ich hatte subids dem Nutzer Root gegeben und damit die Container gestartet. Wie groß ist der Sicherheitsgewinn im Vergleich wenn ein normaler Nutzer mit subids den Container startet?
b) Google Trends zeigt das lxc vs docker praktisch nur docker dominiert. Popcon von Debian zeigt lxc leicht vorne.
c) docker hat ro images. Wo speichert ihr die Daten? Ist für Server Betrieb lxc besser? Oder setzt ihr ganz klassische VMs ein?

Gruß Georg

schorsch_76 · Beitrag von **schorsch_76** » 15.08.2019 09:20:39

Es gibt in diesem unpriviledged LXC container interessante Bugs in Bezug auf AppArmour.

925899 und

916639

novalix · Beitrag von **novalix** » 15.08.2019 17:24:37

Hi,
für die beiden Bugs sind ja im Wesentlichen schon Lösungen implementiert.
Der zweite hatte mich vor ein paar Monaten (da war buster noch testing) auch schon mal gebissen.
Als Workaround habe ich damals bis zur Lösung einfach die Container aus sysv umgestellt (funktioniert prima unter buster, so lange kein X und DE involviert ist).

Ich nutze lxc für "vollständige" Systeme, d.h. Instanzen in die ich mich einlogge und administriere. Das ist bei Docker ja häufig nicht der Fall. Da werden meistens bestimmte daemons in einem Image gekapselt und von aussen gesteuert.
Irgendjemand packt Dir einen Container, schickt ihn um die halbe Welt und Du hievst ihn in Dein System ohne rein zu schauen. Ist nicht so meins, aber das sieht ein Großteil der Welt wohl anders.

schorsch_76 · Beitrag von **schorsch_76** » 17.08.2019 06:41:58

Danke novalix für deinen Input

MartinV · Beitrag von **MartinV** » 17.08.2019 16:18:16

schorsch_76 hat geschrieben:
15.08.2019 07:29:26
Ich hatte subids dem Nutzer Root gegeben und damit die Container gestartet. Wie groß ist der Sicherheitsgewinn im Vergleich wenn ein normaler Nutzer mit subids den Container startet?

Mein Wissen ist hier schwammig und nur analog von Docker hergeleitet:

Soweit ich sehe, gibt es einen Sicherheitsgewinn mit subids eines unprivilegierten Users. Eine subid kann innerhalb des containers als root agieren. Sollte ein root-Programm aus dem Container ausbrechen, liefe es auf dem Host als unprivilegierter User, nicht als root.

subids von root in einem Container wären auf dem Host auch root. Also kein Sicherheitsgewinn.

Soweit mein unsicheres Verständnis.

schorsch_76 · Beitrag von **schorsch_76** » 17.08.2019 18:27:10

Meine tests zeigen, daß der einzige Unterschied zwischen Root startet den Container oder ein normale Nutzer ist, das lxc-monitor einmal unter root läuft und das andere mal als Benutzer.
Die Frage ist: Ist das gefährlicher? Und wie gefährlich ist das überhaupt? Init im Container läuft einmal unter uid 100000 oder unter 1001000.

schorsch_76 · Beitrag von **schorsch_76** » 18.08.2019 09:00:48

So schaut es jetzt aus: root startet hier 3 Container mit jeweils einem eigen Subset an UID/GIDs.

schorsch_76 · Beitrag von **schorsch_76** » 18.08.2019 10:11:23

lxc-ls meldet, das diese Container unpriviledged sind:

Code: Alles auswählen

lxc-ls --fancy
NAME     STATE   AUTOSTART GROUPS IPV4            IPV6 UNPRIVILEGED 
ldap     RUNNING 1         -      192.xxxxxxxxxxx -    true         
mail     RUNNING 1         -      192.xxxxxxxxxxx -    true         
www      RUNNING 1         -      192.xxxxxxxxxxx -    true

debianforum.de

Lxc: Ein paar Fragen

Lxc: Ein paar Fragen

Re: Lxc: Ein paar Fragen

Re: Lxc: Ein paar Fragen

Re: Lxc: Ein paar Fragen

Re: Lxc: Ein paar Fragen

Re: Lxc: Ein paar Fragen

Re: Lxc: Ein paar Fragen

Re: Lxc: Ein paar Fragen