+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

LXC security.nesting, Proxmox Виртуальная Среда

trystan

Guest

20.06.2018 19:30:00

Upstream LXC/LXD имеет опцию 'security.nesting' более года, которая надежно позволяет LXC запускать другие среды контейнеров под собой без использования неконтролируемого профиля apparmor. Есть ли эквивалентная опция lxc.conf в Proxmox?

theitsmith

Guest

21.07.2018 04:09:00

Я думаю, что это была бы хорошая функция как для AppArmor, так и для SELinux. В моей ситуации я пытался использовать Ubuntu Snaps и не смог «ограничить» их в контейнере, поскольку AppArmor не удалось запустить. Когда я искал, как установить опцию LXC "security.nesting=true" для данного контейнера, мне не удалось найти способ сделать это в PVE. Таким образом, это фактически мешает мне запускать AppArmor или SELinux в «непривилегированных» контейнерах. Упомянутый профиль, удаляет ли он какие-либо защиты по сравнению с просто установкой 'security.nesting'? Есть ли планы добавить опцию в PVE для использования 'security.nesting'?

wbumiller

Guest

23.07.2018 10:31:00

Да, над этим уже работают. Однако будут некоторые особенности, с которыми придется разбираться. (В частности, docker и systemd-networkd имеют конфликтующие требования, когда они работают в пространстве имен пользователя, например.)

Scott Duensing

Guest

30.08.2018 03:10:00

Даже с учетом вышесказанного, я получаю: root@server:~# snap install rocketchat-server ошибка: невозможно выполнить следующие задачи: - Настройка безопасных профилей.snap "core" (5328) (невозможно настроить apparmor для.snap "core": невозможно загрузить профиль apparmor "snap-update-ns.core": невозможно загрузить профиль apparmor: код возврата 243, вывод apparmor_parser: apparmor_parser: Невозможно заменить "snap-update-ns.core". Доступ запрещен; попытка загрузить профиль в условиях ограничения?) - Настройка безопасных профилей.snap "core" (5328) (невозможно загрузить профиль apparmor "snap-update-ns.core": невозможно загрузить профиль apparmor: код возврата 243, вывод apparmor_parser: apparmor_parser: Невозможно заменить "snap-update-ns.core". Доступ запрещен; попытка загрузить профиль в условиях ограничения?)

kakao73 Guest	#5 0 11.10.2018 06:05:00 Есть новости о добавлении функции 'security.nesting=true' в PVE?

wbumiller

Guest

11.10.2018 12:48:00

С pve-container >=2.0-28 вы можете начать тестировать настройку `features` в контейнерах. Удалите любые пользовательские строки `lxc.apparmor.profile` и используйте `features: nesting=1`, если хотите просто вложить lxc или lxd. Если хотите вложить docker в _непривилегированный_ контейнер, вам также нужно добавить 'keyctl' в список функций (это приведет к тому, что systemd-networkd откажется работать, кстати. - по всей видимости, systemd-networkd нормально относится к отсутствию keyctl(), а docker - нет, но если он существует, docker будет рад, а вот systemd-networkd абсолютно против непривилегированного доступа...). Правка: исправлен пример `features` (не хватало `=1`).

kakao73

Guest

11.10.2018 16:59:00

Я обновил pve-container до 2.0-28. Ты имел в виду, что `features: nesting` должно быть расположено в /etc/pve/lxc/<CTID>.conf? Это предотвращает запуск контейнера с ошибкой "не удается разобрать значение 'features' - значение без ключа, но схема не определяет ключ по умолчанию".

wbumiller

Guest

12.10.2018 11:17:00

Да, именно так. Извините, должно быть `features: nesting=1`. (Также я обновил свой пост выше.) Дополнительно: вы можете посмотреть страницу man для `pct(1)`, чтобы немного больше узнать о строке `features`. Если прокрутить вниз до раздела `Configuration` и подраздела `Options`, там есть дополнительные детали об отдельных ключах в строке features.

kakao73

Guest

12.10.2018 13:10:00

Спасибо. Я пробовал использовать Docker в непривилегированном контейнере с overlay2, и это не сработало, появилось сообщение "operation not permitted". В 2017 году некоторые люди говорили, что следует выбирать либо overlay2, либо привилегированный контейнер. Это по-прежнему актуально или можно будет обновить позже?

mlanner

Guest

#10

13.10.2018 04:17:00

@wbumiller Я только что попробовал ваше предложение добавить параметр nesting=1 в LXC контейнере на Ubuntu 18.04. Всё запускается нормально. Затем я устанавливаю snapd, но служба snapd.service не запускается. Я пробовал запускать контейнер как в непривилегированном, так и в привилегированном режиме, но это не дало результата. Мне немного неясно, нужно ли мне всё ещё добавлять /etc/apparmor.d/lxc/lxc-default-cgns-with-nesting или этот шаг сейчас не нужен? Я использую pve-manager/5.2-9/4b30e8f9 и pve-container=2.0-28.

wbumiller

Guest

#11

15.10.2018 08:57:00

snapd требует гораздо больше, чем просто вложенность. Если вы посмотрите на вывод журнала при его запуске, то, вероятно, увидите, что он жалуется на неспособность смонтировать файловую систему squashfs — это можно разрешить, добавив ',mount=squashfs' в строку с функциями. Тем не менее, чтобы смонтировать что-либо из файлов, необходимо настроить устройство обратной связи, что требует доступа к /dev/loop*. Вы можете найти, как это сделать в этой [1] теме, включая причины, по которым это плохая идея с точки зрения безопасности. Поскольку устройства обратной связи добавляются через привязанные точки монтирования, идентификаторы пользователя и группы владения не будут отображаться в контейнере, поэтому это работает только с привилегированными контейнерами. [1] https://forum.proxmox.com/threads/mount-via-loop-device-in-container.47398

wbumiller Guest	#12 0 17.10.2018 10:13:00 Пожалуйста, также ознакомьтесь с документацией по функции 'keyctl' в мануале pct.conf.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры