[SOLVED] Backup auf NFS klappt bei einigen LXC nicht (mehr) - Grund war: unprivileged LXC Container

Ok Danke aber jetzt glaube ich habe ich noch ein Miskonfiguration gefunden.
Ich habe glaub ich ganz am Anfang das local-zfs gelöscht und dann noch ein falsches LVM-Thin! Erstellt ist alles komisch da.

Bevor ich jetzt nochmal ein Storage von der Synology einbinde.
Würde ich dich bitten, da Du Dich ja super mit proxmox auskennst da mal drüberzuschauen damit mal die lokale Disk wenigstens in Ordnung ist.

Wenn du noch mehr Infos dazu brauchst, mach ich noch Screenshots.
Hab das da mal gepostet.
https://forum.proxmox.com/threads/restore-default-storage-configuration.80983/
Danke
 
Jetzt muss ich Dich nochmal fragen
Der Eintrag "tmpdir: /tmp" gefällt mir nicht als Lösung.
Ich stolpere von einem Workaround ins andere!

Nachdem was ich nun hier gelernt habe, hat der User keine Schreibrechte nach Synology?
Stimmt das?

Welcher User ist denn das?
Der mit dem ich mich bei Proxmox anmelden nehme ich mal an?

Der müsste dann in der Synology angelegt und mit Schreibrechten auf den Ordner ausgestattet werden?
Nicht nur Rechte der IP wie bisher.

1608576808375.png

Oder lieg ich da völlig falsch?
 
Last edited:
Wenn du das nur vom Proxmox-Host selbst aus meinst und nicht von einem LXC, dann wird wohl root benutzt denke ich.
NFS verhält sich da bei den Rechten, wenn man nichts anderes einstellt, wie eine normale Linux Partition. Hat man nichts anderes festgelegt (also ein User oder eine Gruppe für "mapall" oder "maproot" z.B.), dann darf jeder auf dem NFS Share Dateien und Ordner erstellen der da irgendwie drauf zugreifen kann. Die erstellten Ordner und Dateien gehören dann dem User und dessen Primärgruppe, der sie erstellt hat. Dieser kann dann die Rechte setzen, wer wie auf seine Daten zugreifen darf. Alle User und Gruppen die auf einem Share arbeiten sollten dann am besten auch auf beiden Systeme angelegt sein. Da gibt es ja kein Sync zwischen den Rechten oder so. Schreibt User "Test" mit UID 1234 von Proxmox auf dein NAS, dann wird die Datei auf dem NAS dem User mit der UID 1234 gehören. Problematisch wenn du schon auf dem NAS einen User "KarlHeinz" mit der UID 1234 hast und der dann vielleicht sogar per sudo Root-Rechte bekommen hat. Dann hat dein User "Test" auf dem Proxmox-Server plötzlich Root-Rechte auf dem NAS und kann viel Unfug anstellen.
Außerdem hindert NFS auch niemanden daran sich einfach als root im Share anzumelden. Logt man sich einfach von einem beliebigen Laptop aus als Root in sein Laptop ein und greift auf den NFS-Share zu. Schon macht man im Share auf dem NAS alles als root, ohne da überhaupt das Passwort vom Root-User des NAS haben zu müssen, da dem NAS das egal ist, weil der User mit der UID 0 sich ja schon am Laptop authentifiziert hat.
Ist halt sicherheitstechnisch echt nicht toll, wenn man da keinerlei Authentifizierung hat.

Proxmox hat seine eigenen Regeln was der User mit UID 1234 oder die Gruppe mit GID 1234 auf dem Proxmox-Server machen darf und was nicht.
Dein Synology hat seine eigenen Regeln was der User mit UID 1234 oder die Gruppe mit GID 1234 auf dem NAS machen darf oder nicht.
Egal von welcher Seite man das betrachtet gehört die Datei immer dem User mit der UID 1234 und der Gruppe mit der GID 1234. Es werden aber immer die Regeln des eigenen Betriebsystems angewendet und nicht die von der anderen Seite.
Vielleicht heißt die Gruppe mit der GID auf dem NAS "admin" und da sind 5 User zugeordnet die auf sensible Dateien zugriff haben sollen.
Auf dem Proxmox heißt die Gruppe mit GID 1234 vielleicht "gast" und da sind 2 User zugeordnet die eigentlich nirgendwo groß Zugriff haben sollen.
Das hängt mit den Rechten also immer vom Blickwinkel an, von welchem Rechner aus zu den Share nun betrachtest.
 
Last edited:
Ok halb verstanden
Aber jetzt mal aus Sicht eines Proxmox Users wie ich.

Ich will proxmox benutzen, um meine Projekte zu erstellen.

Mittlerweile entwickelt sich proxmox um es überhaupt vernünftig bedienen zu können zum Projekt. - Nicht gut

So
Jetzt binde ich wie beschrieben den Synology Ordner ein erstelle als Ich User eine VM mit meinem Projekt - Gut
Dann Sichere Ich mein Projekt wahrscheinlich als Ich User mit Ich Rechten auf dem Synology Share ohne Probleme - Gut

Jetzt erstelle ich immer noch als Ich User mit Ich Rechten ganz gleich wie vorher aber keine VM, sondern einen CT
Dann will ich wie vorher das Projekt auf dem CT genauso sichern wie die VM!

So und dann gehts los.
JA DAAS GEHT NICHT weil ja Trallala User Blabl hat da weil dort und überhaupt - Ab gehts User los unter die Motorhaube und da und das konfigurier und weil auch Vielleicht auch noch hier oder doch anders!

Schau dir mal das Gemurxe um das Thema hier im Forum an.
1608590353747.png
2k vievs
Hat jetzt jeder einen quatsch konfiguriert und priviligierte CTs laufen?

Gottes-Dank hast du mich auf das unsichere Workaround hingewiesen
und privilegiert, geht schon gar nicht als Lösung (kommt der Tipp von proxmox Hackern?)
Danke nochmal.

Ich sehe uns als User hier nicht in Pflicht wieder unter der Motorhaube herumwerkeln zu müssen.

Hier müssen mal die Proxmox Ingenieure rann, um das zu fixen.

VM sichern - Ja sicher Super featcher
CT sichern - NEIN User hat jetzt Böse Rechte will seinen CT sichern Huh! Hahh! - darf auf temp nicht zugreifen!! Ja Ja!
Was soll das?
Warum darf ich als User meinen CT nicht sichern?

Wo kann ich das als Fehler melden?

Wie siehst Du das?
 
Last edited:
  • Like
Reactions: Borotes
Aber danke auch für den Hinweis in der Synology auf den Ordner soll also nur der syno admin zugriff haben.
Was meinst du, wenn ich eben den Proxmox User (aber welchen - habe mich mich root angemeldet) noch zugriff auf der syno gewähre.
event auch noch in proxmox was mit Usern konfigurieren.
Wir machen da eigentlich den Job der Proxmoxe
für eine vernünftige sichere Anleitung vielleicht gibts ja auch von der Seite mal was Richtiges und keine Vermutungen dazu?
 
was das problem hier betrifft:
- ein backup eines unpriviliegerten containers wird im unprivilegierten kontext gemacht (mit gemappten usern)
- d.h. dass der gemappte root user (der das rsync/tar kommando fürs backup ausführt) auf das tmpdir bzw. den finalen backup ort schreiben können muss
 
Danke
Als user möchte ich gerne die backup Funktion auch für CTs "OUT of the Box" nutzen können.

Wann wird das gefixt werden damit das funktioniert?
Für VMs gehts ja schon!
 
Last edited:
Schaut bitte mal hier
https://forum.proxmox.com/threads/backup-schlägt-fehl-permission-denied.74793/

Habe angeboten ein HowTo mit Screenshots zu diesem Problem zu erstellen und gebeten mir doch die richtige Konfiguration der Synology zu verraten damit die 100 derten Threads zu dem Thema endlich RICHTIG beantwortet können.

Fabian sagt keinen Support für Synology Konfiguration soll bei Synology fragen!
Was meint Ihr?

Nachdem Fabian meint Ihn geht das nichts an (kann auch nicht im Sinne von Proxmox sein?)

Lösung hier ist sicherheitstechnisch inakzeptabel
2K Views!
Haben die User alle das jetzt so konfiguriert? (kommt die Lösung von einem Proxmox Hacker?)

Habe hier jetzt mal angefangen
https://forum.proxmox.com/threads/wowto-ordner-auf-synology-in-proxmox-als-storage-hinzufügen.81077/

Vielleicht interessiert es ja jemanden herauszufinden wie das wirklich geht.
 
Last edited:
Witker said:
Was meint Ihr?
Click to expand...
Anstatt die Tips die du hier bekommst zu berherzigen, verärgerst du alle die dir hier helfen wollen.

Und ja, Fragen zur Konfiguration von Synology sind nicht das primäre Thema für Proxmox VE Support.
 
  • Like
Reactions: sixpack.de
sixpack.de said:
Hi,

die zeigt auf dump --> /mnt/pve/proxmox-syn/dump/ in meinem fall (siehe log) wohin die bei Dir zeigt steht in Deinem Log.

Lösung:
Option A) Schreibrechte für den User 1000 auf dem Verzeichnis einräumen
Option B) Schreib-pfad auf ein Verzeichnis umbiegen in das alle User schreiben dürfen
Option C) Container auf priviligiert setzten

Ich habe A) gewählt, erschien mir am saubersten.

Guß,

Jan
Click to expand...
Hallo Jan,

wie mache ich das auf einer Synology DS213j???? also das mit dem User 1000 schreibrechte geben?? Muss ich da einen User namens 1000 anlegen und dann schreiben udn lesen geben??
Gruss
 
Wenn du mit unprivilegierten LXCs arbeitest musst du erst einmal wissen das User im LXC nicht die gleichen User wie auf dem Host sind. Die werden normalerweise umgemappt und der root User im LXC (UID im LXC = 0) ist dann auf dem Host der User mit der UID 100000. Wenn also der root User im LXC Schreibrechte braucht, dann müsstest du auf dem Host dem User mit der UID 100000 die Schreibrechte geben. Weil USer 0 bis 65565 im LXC werden zu 100000 bis 165565 umgemappt. Jeder User hat nicht unbedingt einen Namen aber jeder User hat eine UID. Hier geht es also um UIDs und nicht um Namen wenn du was von Zahlen liest.

Da solltest du also mal gucken ob du in der Synology einen User mit der UID 100000 anlegen und diesem dann Zugriff auf den Share geben kannst.
 
Last edited:
WOW
Nach 5 Monaten schon fast eine Lösung! Vielleicht
@Dunuin
Das hatten wir schon mal! Nicht gelöst!

@Kusselin
Ich empfehle dir die free Profi-Lösung von VMware für deinen Server keine permanent Bastellösung
Habe hier nur Zeit verschwendet ohne je vernünftig voran zu kommen.
LG
Witzker
 
Hallo Dunuin, o.k. so ganz klar ist das noch nicht...aber ich lege einen neuen user in der Synology an der nicht admin oder root heisst sondern mit dem Namen "100000" verstehe ich das richtig? und diesem user 100000 gebe ich lese udn schreibrechte..richtig? das alles auf der Syno richtig?
Gruss
 
Witker said:
WOW
Nach 5 Monaten schon fast eine Lösung! Vielleicht
@Dunuin
Das hatten wir schon mal! Nicht gelöst!

@Kusselin
Ich empfehle dir die free Profi-Lösung von VMware für deinen Server keine permanent Bastellösung
Habe hier nur Zeit verschwendet ohne je vernünftig voran zu kommen.
LG
Witzker
Click to expand...
Dir wurde gesagt wie man es richtig umsetzt aber du hattest keine Lust dich mit der Materie zu beschäftigen und es war die alles viel zu aufwändig und nicht "Plug-&-Play" genug. Wenn man nicht weiß was man da überhaupt tut und auch kein Interesse hat es sich anzueignen, dann sollte man vielleicht besser bei Appliances oder fertigen Cloud-Diensten bleiben wo man sich nur etwas vorkonfiguriertes zusammenklickt.
Das ist so wie wenn man keine Ahnung vom Kochen hat, sich dann aber in eine Profiküche mit allem Möglichen an speziellen Kochgeräten stellt und sich dann beschwert, dass da das 9 Gänge Menü sich nicht so leicht zubereitet wie die Fertigmahlzeit in der Mikrowelle.

Das dein Problem absolut rein garnichts mit Proxmox zu tun hat, sondern deiner Unfähigkeit das NAS richtig einzurichten oder dein Linux zu administrieren, hast du ja anscheinend auch nicht verstanden.

Wer hier nett fragt bekommt eigentlich auch immer super Hilfe. Ich finde den Support hier z.B. super. Wo findet man heute sonst noch einen so guten Support wo die Programmierer selbst noch den Support im Forum machen...und das dann sogar noch für jeden, egal ob er für eine Lizenz bezahlt hat oder nicht...
 
Last edited:
Dunuin said:
Wenn du mit unprivilegierten LXCs arbeitest musst du erst einmal wissen das User im LXC nicht die gleichen User wie auf dem Host sind. Die werden normalerweise umgemappt und der root User im LXC (UID im LXC = 0) ist dann auf dem Host der User mit der UID 100000.
Click to expand...
das heisst für mich das der host in meinem Fall die synology ist...richtig?

Dunuin said:
Wenn also der root User im LXC Schreibrechte braucht, dann müsstest du auf dem Host dem User mit der UID 100000 die Schreibrechte geben.
Click to expand...
user root bin ich im LXC das hab ich verstanden.....dann muss ich auf der Synology einen User anlegen mit dem Namen "100000" und diesem dann einen Haken bei Lese- und Schreibrechte geben für das Verzeichnis "Backup" in meinem Fall, also da wo die backups halt reingeschrieben werden udn gesichert werden ...richtig?
 
Kusselin said:
Hallo Dunuin, o.k. so ganz klar ist das noch nicht...aber ich lege einen neuen user in der Synology an der nicht admin oder root heisst sondern mit dem Namen "100000" verstehe ich das richtig? und diesem user 100000 gebe ich lese udn schreibrechte..richtig? das alles auf der Syno richtig?
Gruss
Click to expand...
Nein, 100000 wäre die UID des Users und nicht der Name des Users.
Das einfachste wäre wohl wenn du dem NFS Share Schreibrechte für Alles und Jedem (chmod 777) gibst, damit da jeder User reinschreiben darf. Und dann kann man ja normal IPs erlauben oder verbieten die auf den NFS Share Zugriff haben dürfen. Da würde ich dann einstellen, dass da nur die IP vom Proxmox Server Zugriff erhält. Dann darf jeder User Backups erstellen/lesen/löschen der von deinem Proxmox-Server kommt aber keine anderen Rechner im Netz (oder VMs mit anderen IPs) könnten da drauf und Unfug mit den Backups anstellen.

Was du da genau machen musst kann ich dir aber leider auch nicht sagen da ich kein Synology betreibe. Vielleicht kann dir da wer anderes genauere Tipps geben der selbst sowas daheim im Betrieb hat.
 
Last edited:
Kusselin said:
das heisst für mich das der host in meinem Fall die synology ist...richtig?
Click to expand...
Nein der Host ist immer der Rechner der deine Gastsysteme betreibt. Also Proxmox in dem Fall.
Kusselin said:
user root bin ich im LXC das hab ich verstanden.....dann muss ich auf der Synology einen User anlegen mit dem Namen "100000" und diesem dann einen Haken bei Lese- und Schreibrechte geben für das Verzeichnis "Backup" in meinem Fall, also da wo die backups halt reingeschrieben werden udn gesichert werden ...richtig?
Click to expand...
Kannst du bei der Synology User mit speziellen UIDs erstellen? Dann würde ich einen User mit einem beliebigen Namen (z.B. "lxcroot") und der UID 100000 anlegen und für den dann die Haken bei Lese- und Schreibzugriff für dein Backup-Verzeichnis setzen.
 
Last edited:
Also bei mir habe ich einfach einen User mit dem Namen 10000 erstellt und dem User r/w Rechte gegeben und das PW hinterlegt.

Das hat das Problem gelöst.

Gruß,

Jan
 

Attachments

  • 1622147585864.png
    1622147585864.png
    43.5 KB · Views: 46
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back