Debian + LXC = Headache

[bumer]

Hallo,

ich habe drei Fragen:

1. Unter Ubuntu kann man unpriviligierte LXContainer (sprich sie werden nicht root gestartet) problemlos und ohne großen Aufwand starten. Unter Debian jedoch, ist das teils nur mit unzähligen Fehlermeldungen (vorwiegend Permission-Errors) und großen fehleranfälligen Konfigurationsarbeiten möglich:
https://myles.sh/configuring-lxc-unpri ... n-jessie/

Kriegt das jemand von Euch reibungslos hin oder ist das nur mein Eindruck?

---

2. Das einzige etwas sicherere LXC-Konzept was unter Debian mehr oder weniger läuft (trotzdem mit zahlreichen Permission-Errors) sind teilweise unprivilgierte LXContainer: Sprich ich mappe die UID/GID 0 von root in /etc/sub{u,i}id, starte den LXContainer als root, die UID/GID 0 ist aber im Falle eines Ausbruchs von einer anderen UID/GID überlagert, sprich man ist nobody/nogroup.

Ist das ein Vergleichsweise sicheres Konzept?

---

3. And last but not least:

Könntet Ihr bitte sagen wie Ihr LXC sicherer macht, bzw. wie Ihr es in einer Produktivumgebung einsetzt (die Rede ist nur vom Sicherheitsaspekt, was der LXContainer im Endeffekt macht ist jetzt erstmal off topic)?

---

Vielen lieben Dank im Voraus.

[bumer]

Hat echt keiner 'ne Ahnung?

[bumer]

Also semi-previligierte Container (also als Root starten und die UID/GID mappen in /etc/sub{g,u}id) geht unter Debian mit LXC > 2.0 auch nicht mehr so ohne weiteres. Also echt schwach...

[hec_tech]

Schau dir eventuell mal die Konfiguration von Proxmox an.

Da sind unpriviligierte Container möglich. Ich denke das die einfachste Variante. Die Frage ist wieviel die sonst noch so angepasst haben.

lg
Gregor

[bumer]

Schau dir eventuell mal die Konfiguration von Proxmox an.

Da sind unpriviligierte Container möglich. Ich denke das die einfachste Variante. Die Frage ist wieviel die sonst noch so angepasst haben.

lg
Gregor

Klar kriegt man das irgendwie hin, ich bin einfach nur enttäuscht über die schwache Umsetzung in Debian.

Noch katastrophaler ist Debian 9 habe ich gerade festgestellt:

Code: Alles auswählen

$> lxc-create -n irgendeincontainer -t download
...
Downloading the rootfs
ERROR: Failed to download http://images.linuxcontainers.org//images/debian/stretch/amd64/default/20170720_23:50//rootfs.tar.xz
lxc-create: lxccontainer.c: create_run_template: 1297 container creation template for fuckoff failed
lxc-create: tools/lxc_create.c: main: 318 Error creating container irgendeincontainer

Wenn ich nicht das Template 'download' nutze, sondern direkt ein Debian-Stretch mit

Code: Alles auswählen

$> lxc-create -n irgendeincontainer -t debian

erstelle, hat der Container unglaublich viele Fehler, z.B.:

Code: Alles auswählen

$> apt-get update
...
Reading package lists... Done
W: Download is performed unsandboxed as root as file '/var/lib/apt/lists/partial/ftp.de.debian.org_debian_dists_stretch_InRelease' couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Permission denied)

Also echt, auf so 'ne billige unstabile Schlamperei treffe ich zum ersten Mal bei Debian. Und LXC ist keine so unwichtige Software, also die Rede ist hier nicht von irgend einer Nischen-Software. Bin echt enttäuscht.