Аспро: ЛайтШоп [тема: LXC security.nesting]

LXC security.nesting

Wed, 17 Oct 2018 10:13:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Пожалуйста, также ознакомьтесь с документацией по функции 'keyctl' в мануале pct.conf.
17.10.2018 10:13:00, wbumiller.

LXC security.nesting

Mon, 15 Oct 2018 08:57:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
snapd требует гораздо больше, чем просто вложенность. Если вы посмотрите на вывод журнала при его запуске, то, вероятно, увидите, что он жалуется на неспособность смонтировать файловую систему squashfs — это можно разрешить, добавив ',mount=squashfs' в строку с функциями. Тем не менее, чтобы смонтировать что-либо из файлов, необходимо настроить устройство обратной связи, что требует доступа к /dev/loop*. Вы можете найти, как это сделать в этой [1] теме, включая причины, по которым это плохая идея с точки зрения безопасности. Поскольку устройства обратной связи добавляются через привязанные точки монтирования, идентификаторы пользователя и группы владения не будут отображаться в контейнере, поэтому это работает только с привилегированными контейнерами. [1] https://forum.proxmox.com/threads/mount-via-loop-device-in-container.47398
15.10.2018 08:57:00, wbumiller.

LXC security.nesting

Sat, 13 Oct 2018 04:17:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
@wbumiller Я только что попробовал ваше предложение добавить параметр nesting=1 в LXC контейнере на Ubuntu 18.04. Всё запускается нормально. Затем я устанавливаю snapd, но служба snapd.service не запускается. Я пробовал запускать контейнер как в непривилегированном, так и в привилегированном режиме, но это не дало результата. Мне немного неясно, нужно ли мне всё ещё добавлять /etc/apparmor.d/lxc/lxc-default-cgns-with-nesting или этот шаг сейчас не нужен? Я использую pve-manager/5.2-9/4b30e8f9 и pve-container=2.0-28.
13.10.2018 04:17:00, mlanner.

LXC security.nesting

Fri, 12 Oct 2018 13:10:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Спасибо. Я пробовал использовать Docker в непривилегированном контейнере с overlay2, и это не сработало, появилось сообщение "operation not permitted". В 2017 году некоторые люди говорили, что следует выбирать либо overlay2, либо привилегированный контейнер. Это по-прежнему актуально или можно будет обновить позже?
12.10.2018 13:10:00, kakao73.

LXC security.nesting

Fri, 12 Oct 2018 11:17:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Да, именно так. Извините, должно быть `features: nesting=1`. (Также я обновил свой пост выше.) Дополнительно: вы можете посмотреть страницу man для `pct(1)`, чтобы немного больше узнать о строке `features`. Если прокрутить вниз до раздела `Configuration` и подраздела `Options`, там есть дополнительные детали об отдельных ключах в строке features.
12.10.2018 11:17:00, wbumiller.

LXC security.nesting

Thu, 11 Oct 2018 16:59:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я обновил pve-container до 2.0-28. Ты имел в виду, что `features: nesting` должно быть расположено в /etc/pve/lxc/.conf? Это предотвращает запуск контейнера с ошибкой "не удается разобрать значение 'features' - значение без ключа, но схема не определяет ключ по умолчанию".
11.10.2018 16:59:00, kakao73.

LXC security.nesting

Thu, 11 Oct 2018 12:48:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
С pve-container >=2.0-28 вы можете начать тестировать настройку `features` в контейнерах. Удалите любые пользовательские строки `lxc.apparmor.profile` и используйте `features: nesting=1`, если хотите просто вложить lxc или lxd. Если хотите вложить docker в _непривилегированный_ контейнер, вам также нужно добавить 'keyctl' в список функций (это приведет к тому, что systemd-networkd откажется работать, кстати. - по всей видимости, systemd-networkd нормально относится к отсутствию keyctl(), а docker - нет, но если он существует, docker будет рад, а вот systemd-networkd абсолютно против непривилегированного доступа...). Правка: исправлен пример `features` (не хватало `=1`).
11.10.2018 12:48:00, wbumiller.

LXC security.nesting

Thu, 11 Oct 2018 06:05:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Есть новости о добавлении функции 'security.nesting=true' в PVE?
11.10.2018 06:05:00, kakao73.

LXC security.nesting

Thu, 30 Aug 2018 03:10:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Даже с учетом вышесказанного, я получаю: root@server:~# snap install rocketchat-server ошибка: невозможно выполнить следующие задачи: - Настройка безопасных профилей.snap "core" (5328) (невозможно настроить apparmor для.snap "core": невозможно загрузить профиль apparmor "snap-update-ns.core": невозможно загрузить профиль apparmor: код возврата 243, вывод apparmor_parser: apparmor_parser: Невозможно заменить "snap-update-ns.core". Доступ запрещен; попытка загрузить профиль в условиях ограничения?) - Настройка безопасных профилей.snap "core" (5328) (невозможно загрузить профиль apparmor "snap-update-ns.core": невозможно загрузить профиль apparmor: код возврата 243, вывод apparmor_parser: apparmor_parser: Невозможно заменить "snap-update-ns.core". Доступ запрещен; попытка загрузить профиль в условиях ограничения?)
30.08.2018 03:10:00, Scott Duensing.

LXC security.nesting

Mon, 23 Jul 2018 10:31:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Да, над этим уже работают. Однако будут некоторые особенности, с которыми придется разбираться. (В частности, docker и systemd-networkd имеют конфликтующие требования, когда они работают в пространстве имен пользователя, например.)
23.07.2018 10:31:00, wbumiller.

LXC security.nesting

Sat, 21 Jul 2018 04:09:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я думаю, что это была бы хорошая функция как для AppArmor, так и для SELinux. В моей ситуации я пытался использовать Ubuntu Snaps и не смог «ограничить» их в контейнере, поскольку AppArmor не удалось запустить. Когда я искал, как установить опцию LXC "security.nesting=true" для данного контейнера, мне не удалось найти способ сделать это в PVE. Таким образом, это фактически мешает мне запускать AppArmor или SELinux в «непривилегированных» контейнерах. Упомянутый профиль, удаляет ли он какие-либо защиты по сравнению с просто установкой 'security.nesting'? Есть ли планы добавить опцию в PVE для использования 'security.nesting'?
21.07.2018 04:09:00, theitsmith.

LXC security.nesting

Wed, 20 Jun 2018 19:30:00 +0300

LXC security.nesting Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Upstream LXC/LXD имеет опцию 'security.nesting' более года, которая надежно позволяет LXC запускать другие среды контейнеров под собой без использования неконтролируемого профиля apparmor. Есть ли эквивалентная опция lxc.conf в Proxmox?
20.06.2018 19:30:00, trystan.