+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

"применение caps: операция не разрешена" при попытке запустить wireguard docker CT, Proxmox Виртуальная Среда

rcd

Guest

10.05.2021 15:58:00

При попытке запустить ghcr.io/linuxserver/wireguard в Docker внутри контейнера (CT) я получаю ошибку "apply caps: operation not permitted". Похоже, это связано с возможностью CAP_MKNOD в контейнере. Я нашел несколько упоминаний об этом в LXC, но ничего конкретного для Proxmox. Кто-нибудь знает, как это исправить?

StackIOI Guest	#2 0 17.11.2021 02:47:00 Также заинтересован в этом решении. Столкнулся с теми же проблемами при запуске docker в LXC.

pharpe Guest	#3 0 08.12.2022 15:28:00 Я заставил это работать. Мне пришлось добавить следующие строки в конфигурационный файл LXC. /etc/pve/lxc/xxx.conf Код: lxc.apparmor.profile: unconfined lxc.cgroup2.devices.allow: a lxc.cap.drop:

LnxBil Guest	#4 0 08.12.2022 18:56:00 Вот что уже написал @tom... ты просто убрал ВСЮ БЕЗОПАСНОСТЬ из своего контейнера LX©.

pharpe

Guest

07.02.2023 20:11:00

Только что увидел это. Я на самом деле не понимаю, какая именно безопасность была удалена. Ubuntu-сервер в LXC всё еще имеет свою безопасность и файрвол, правильно? У меня также всё еще есть файрвол роутера и сетевой уровень безопасности. Вы имеете в виду безопасность между контейнерами Proxmox? Я пытаюсь понять реальные последствия этого. Это домашняя лаборатория, и я единственный пользователь.

LnxBil Guest	#6 0 11.02.2023 15:49:00 Вы имеете доступ ко всем ресурсам вашего хоста и, следовательно, ко всем другим контейнерам, если ваш контейнер Ubuntu с этой уязвимостью компрометирован. Я не могу представить себе хуже ситуации.

pharpe Guest	#7 0 15.02.2023 18:10:00 Либо придется запускать слишком ресурсоемкую виртуальную машину, либо мириться с compromised security. Надеюсь, кто-то предложит лучший вариант.

LnxBil Guest	#8 0 16.02.2023 08:45:00 IMHO, такого не будет и никогда не будет. Система с общим ядром по умолчанию недостаточно изолирована, поэтому безопасность всегда будет вызывать опасения. Да, ВМ требует больше ресурсов, но у нее есть функции, которых нет у LX© контейнера (пока): - миграция без простоя - собственное ядро с, например, функциями, которые отсутствуют в ядре PVE... или не оптимизированы для него, особенно в отношении ограничений по ресурсам в сравнении с Docker или новыми версиями ядра с особыми функциям - возможность иметь "настоящий" ZFS для Docker (например, слои контейнеров в zfs datasets с моментальными снимками, сжатием и т.д.) - полное автоматическое развертывание через API для, например, Rancher для создания кластеров k8s - ограничения ввода-вывода на ВМ от PVE - не может потенциально сломаться, если PVE обновит LXC, что случалось несколько раз в прошлом (хотя это не проблема, Docker в LXC не поддерживается).

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры