Debian + LXC = Headache

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
bumer
Beiträge: 238
Registriert: 02.07.2014 12:29:15

Debian + LXC = Headache

Beitrag von bumer » 08.07.2017 20:32:17

Hallo,

ich habe drei Fragen:

1. Unter Ubuntu kann man unpriviligierte LXContainer (sprich sie werden nicht root gestartet) problemlos und ohne großen Aufwand starten. Unter Debian jedoch, ist das teils nur mit unzähligen Fehlermeldungen (vorwiegend Permission-Errors) und großen fehleranfälligen Konfigurationsarbeiten möglich:
https://myles.sh/configuring-lxc-unpri ... n-jessie/

Kriegt das jemand von Euch reibungslos hin oder ist das nur mein Eindruck?

---

2. Das einzige etwas sicherere LXC-Konzept was unter Debian mehr oder weniger läuft (trotzdem mit zahlreichen Permission-Errors) sind teilweise unprivilgierte LXContainer: Sprich ich mappe die UID/GID 0 von root in /etc/sub{u,i}id, starte den LXContainer als root, die UID/GID 0 ist aber im Falle eines Ausbruchs von einer anderen UID/GID überlagert, sprich man ist nobody/nogroup.

Ist das ein Vergleichsweise sicheres Konzept?

---

3. And last but not least:

Könntet Ihr bitte sagen wie Ihr LXC sicherer macht, bzw. wie Ihr es in einer Produktivumgebung einsetzt (die Rede ist nur vom Sicherheitsaspekt, was der LXContainer im Endeffekt macht ist jetzt erstmal off topic)?

---

Vielen lieben Dank im Voraus.

bumer
Beiträge: 238
Registriert: 02.07.2014 12:29:15

Re: Debian + LXC = Headache

Beitrag von bumer » 12.07.2017 16:24:04

Hat echt keiner 'ne Ahnung?

bumer
Beiträge: 238
Registriert: 02.07.2014 12:29:15

Re: Debian + LXC = Headache

Beitrag von bumer » 17.07.2017 09:52:59

Also semi-previligierte Container (also als Root starten und die UID/GID mappen in /etc/sub{g,u}id) geht unter Debian mit LXC > 2.0 auch nicht mehr so ohne weiteres. Also echt schwach...

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: Debian + LXC = Headache

Beitrag von hec_tech » 17.07.2017 13:41:20

Schau dir eventuell mal die Konfiguration von Proxmox an.

Da sind unpriviligierte Container möglich. Ich denke das die einfachste Variante. Die Frage ist wieviel die sonst noch so angepasst haben.

lg
Gregor

bumer
Beiträge: 238
Registriert: 02.07.2014 12:29:15

Re: Debian + LXC = Headache

Beitrag von bumer » 21.07.2017 18:43:49

hec_tech hat geschrieben: ↑ zum Beitrag ↑
17.07.2017 13:41:20
Schau dir eventuell mal die Konfiguration von Proxmox an.

Da sind unpriviligierte Container möglich. Ich denke das die einfachste Variante. Die Frage ist wieviel die sonst noch so angepasst haben.

lg
Gregor
Klar kriegt man das irgendwie hin, ich bin einfach nur enttäuscht über die schwache Umsetzung in Debian.

Noch katastrophaler ist Debian 9 habe ich gerade festgestellt:

Code: Alles auswählen

$> lxc-create -n irgendeincontainer -t download
...
Downloading the rootfs
ERROR: Failed to download http://images.linuxcontainers.org//images/debian/stretch/amd64/default/20170720_23:50//rootfs.tar.xz
lxc-create: lxccontainer.c: create_run_template: 1297 container creation template for fuckoff failed
lxc-create: tools/lxc_create.c: main: 318 Error creating container irgendeincontainer
Wenn ich nicht das Template 'download' nutze, sondern direkt ein Debian-Stretch mit

Code: Alles auswählen

$> lxc-create -n irgendeincontainer -t debian
erstelle, hat der Container unglaublich viele Fehler, z.B.:

Code: Alles auswählen

$> apt-get update
...
Reading package lists... Done
W: Download is performed unsandboxed as root as file '/var/lib/apt/lists/partial/ftp.de.debian.org_debian_dists_stretch_InRelease' couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Permission denied)
Also echt, auf so 'ne billige unstabile Schlamperei treffe ich zum ersten Mal bei Debian. Und LXC ist keine so unwichtige Software, also die Rede ist hier nicht von irgend einer Nischen-Software. Bin echt enttäuscht.

Antworten