LXC-Container von Privileged auf Unprivileged Container ändern

[maze-m]

Hallo zusammen!

Ich hatte heute auf der Arbeit eine kurze Diskussion mit einem Arbeitskollegen bezüglich 'privileged' und 'unprivileged' LXC-Container und bin daher
nun am überlegen, meine beiden LXC-Container für Jellyfin und Immich von Privileged auf Unprivileged umzuändern.

Ich habe eigentlich nur auf dem Jellyfin-Container meinen NFS-Server eingebunden, weshalb ich den Container als Privileged laufen lassen musste.
Gibt es eine Möglichkeit, das wieder zurück zu ändern und wie kann ich den LXC auf beiden (Jellyfin und Immich) konfigurieren, dass beides hinterher auch läuft?

Ich danke euch für eure Rückmeldung

 

[Impact]

Einfach ein Backup wiederherstellen und dort das Privilege Level auswählen

 

[maze-m]

Einfach ein Backup wiederherstellen und dort das Privilege Level auswählen
View attachment 96463

Laufen dann auch so Sachen wie NFS-Share einbinden, wenn ich das auf Unprivileged ändere?
Oder muss ich dahingehend dann noch etwas anpassen?

Und kann ich dann auch ohne Probleme im Container ein update machen (also sprich so den LXC-Container updaten)?

 

[Impact]

Die CIFS/NFS Optionen gibt es nur für privilegierte Container, aber das steht ja auch prominent im Webinterface und sollte bekannt sein. Ich bin daher nicht darauf eingegangen,

Man könnte bind mounts benutzen, finde das aber kompliziert. Ich weiß nicht genau was update macht, kann dir das also nicht beantworten.

 

[Johannes S]

Laufen dann auch so Sachen wie NFS-Share einbinden, wenn ich das auf Unprivileged ändere?
Oder muss ich dahingehend dann noch etwas anpassen?

Ja du musst dir dann bind mounts einrichten, siehe https://pve.proxmox.com/wiki/Linux_Container#pct_settings und https://pve.proxmox.com/wiki/Unprivileged_LXC_containers

Ein direktes mounten im Container geht mit unpriviligierten Containern nicht, da die dafür root-Rechte brauchen. Und die denen wegzunehmen ist ja genau der Grund, warum man die benutzt statt der Priviligierten

Wenn das einen zu frickelig wird, muss man mit priviligierten containern arbeiten (schlechte Idee aus security-Sicht) oder VMs (blöd bei Jellyfin, wenn man die iGPU nutzen will), pick your poison

Und kann ich dann auch ohne Probleme im Container ein update machen (also sprich so den LXC-Container updaten)?

Das sollte so oder so funktionieren.

 

[maze-m]

Ein direktes mounten im Container geht mit unpriviligierten Containern nicht, da die dafür root-Rechte brauchen. Und die denen wegzunehmen ist ja genau der Grund, warum man die benutzt statt der Priviligierten

Hm okay, ich hab eben parallel auch nochmal in nem Telegramm-Channel gefragt und da wurde gesagt, ich könne den NFS-Share auch direkt auf dem Proxmox-Host mounten und diesen dann an den jeweiligen LXC-Container weiterreichen.
Dann müsste ich ja vermutlich auch einen unprivileged Container verwenden können, oder?

Das ist zumindest hier beschrieben: https://forum.proxmox.com/threads/tutorial-mounting-nfs-share-to-an-unprivileged-lxc.138506/

-->

Wenn das einen zu frickelig wird, muss man mit priviligierten containern arbeiten (schlechte Idee aus security-Sicht) oder VMs (blöd bei Jellyfin, wenn man die iGPU nutzen will), pick your poison

Wäre es denn sehr schlimm, wenn ich einen priviligierten Container weiterhin verwende?

Ich nutze den Jellyfin ja nur selber und meine Frau und die Kinder sollen ihn irgendwann übers VPN nutzen können ....

 

[Bu66as]

Genau, NFS auf dem Host mounten und per Bind-Mount in den Container reichen ist der richtige Weg. Das Tutorial das du gefunden hast passt dafür.

Und nein, für nen Homelab mit Jellyfin ist privileged kein Weltuntergang. Aber da der Umbau auf unprivileged mit Bind-Mount echt nicht viel Aufwand ist, würd ichs einfach machen. Einmal sauber einrichten und dann hast du Ruhe.