[SOLVED] Backup auf NFS klappt bei einigen LXC nicht (mehr) - Grund war: unprivileged LXC Container

WOW
Nach 5 Monaten schon fast eine Lösung! Vielleicht
@Dunuin
Das hatten wir schon mal! Nicht gelöst!

@Kusselin
Ich empfehle dir die free Profi-Lösung von VMware für deinen Server keine permanent Bastellösung
Habe hier nur Zeit verschwendet ohne je vernünftig voran zu kommen.
LG
Witzker
Wenn jemanden die Antworten hier (offensichtlich) überfordern (so wie auch die Tatsache das Proxmoxx wohl kaum Support für Konfiguration von anderen Herstellern zu leisten vermag) dann ist VMware (die Lösung heisst übrigens ESXi) wohl kaum die richtige Wahl. Aber jeder darf Fahler machen wie er mag.

Gruß,

Jan
 
Nein, 100000 wäre die UID des Users und nicht der Name des Users.
Das einfachste wäre wohl wenn du dem NFS Share Schreibrechte für Alles und Jedem (chmod 777) gibst, damit da jeder User reinschreiben darf. Und dann kann man ja normal IPs erlauben oder verbieten die auf den NFS Share Zugriff haben dürfen. Da würde ich dann einstellen, dass da nur die IP vom Proxmox Server Zugriff erhält. Dann darf jeder User Backups erstellen/lesen/löschen der von deinem Proxmox-Server kommt aber keine anderen Rechner im Netz (oder VMs mit anderen IPs) könnten da drauf und Unfug mit den Backups anstellen.

Was du da genau machen musst kann ich dir aber leider auch nicht sagen da ich kein Synology betreibe. Vielleicht kann dir da wer anderes genauere Tipps geben der selbst sowas daheim im Betrieb hat.
Hallo Dunuin,

vielen Dank für die Aufklärung. Klar, wenn man nicht jeden Tag mit Proxmox zu tun hat dann ist das nicht einfach. Soweit habe ich das verstanden... bzgl. der Rechte usw. müsste ich mal im Synology Forum anfragen.

Danke und Gruss
 
Also bei mir habe ich einfach einen User mit dem Namen 10000 erstellt und dem User r/w Rechte gegeben und das PW hinterlegt.

Das hat das Problem gelöst.

Gruß,

Jan
Cool sixpack und Danke für den Screenshot....dann probiere ich das erstmal so aus auf meiner Syno 213j bevor ich im Forum Fragen stelle.

Ne Frage aber noch...bist du Dir sicher das es der 10000 und nicht der 100000 heissen muss? oder ist das egal? und als email kann ich eine pseudo mail nehmen..richtig?

EDIT: Wie finde ich meine UserID raus? Anscheinend ist die bei jedem anders...richtig?
Mann, hätte ich doch beim anlegen des Containers damals gleich den Haken rausgemacht bei unpriviliegierter Container :-(
Jetzt muss ich meiner NAS halt sagen wenn meine userID ein Backup machen will.....Hey...du bist die richtige ID nämlich XXXXX du hast SChreib und Leserechte...dur darfst.... ;-)
Danke Dir
 
Last edited:
Hallo Dunuin,

vielen Dank für die Aufklärung. Klar, wenn man nicht jeden Tag mit Proxmox zu tun hat dann ist das nicht einfach. Soweit habe ich das verstanden... bzgl. der Rechte usw. müsste ich mal im Synology Forum anfragen.

Danke und Gruss
Hi,

kein Stress einfach den user einrichten und im Zweifel händisch von deinem Proxmox aus testen. Die Antwort war nicht für Dich :)

Gruß,

Jan
 
Cool sixpack und Danke für den Screenshot....dann probiere ich das erstmal so aus auf meiner Syno 213j bevor ich im Forum Fragen stelle.

Ne Frage aber noch...bist du Dir sicher das es der 10000 und nicht der 100000 heissen muss? oder ist das egal? und als email kann ich eine pseudo mail nehmen..richtig?

EDIT: Wie finde ich meine UserID raus? Anscheinend ist die bei jedem anders...richtig?
Mann, hätte ich doch beim anlegen des Containers damals gleich den Haken rausgemacht bei unpriviliegierter Container :-(
Jetzt muss ich meiner NAS halt sagen wenn meine userID ein Backup machen will.....Hey...du bist die richtige ID nämlich XXXXX du hast SChreib und Leserechte...dur darfst.... ;-)
Danke Dir
Habe die Antwort auf meinem iPad getippt da gehen 0 schonmal unter, ja -->Ich habe da nur mit in@ter.net überschireben weil ich meine interenen mailadressen nicht auf Bildern im WWW sehen mag :)

UserID: schau in Dein Log bei dem Fehler hinter lxc-usernsexec sollte der Name übergeben werden IIRC. Ich meine das er mit der ID als login anfragt und ich habe die ID als Login angelegt ohne PW IIIRC.

Gruß,

Jan
 
Mann, hätte ich doch beim anlegen des Containers damals gleich den Haken rausgemacht bei unpriviliegierter Container :-(
Privilegierte LXCs sind vom Sicherheitsaspekt aber auch sehr unschön. Da hast du dann zwar weniger Probleme mit User-Remapping, Rechten, fehlenden Funktionen usw. aber das auch auch, weil das alles wichtige Isolationsmechanismen sind, welche die Sicherheit erhöhen und bei privilegierten LXCs halt einfach fehlen. Wenn etwas auch vom Internet aus erreichbar ist würde ich selbst jedenfalls immer nur unprivilegierte LXCs nutzen wollen.
 
Hallo Zusammen, ich habe jetzt mal einen User "100000" auf meiner Syno erstellt:
image0.png
Der Ordner in den die Backups reinkommen liegt bei mir unter /backups/dump/ und die haben die Rechte "777"

Leider kommt immer noch die Fehlermeldung:
Code:
NFO: starting new backup job: vzdump 210 --node pve --remove 0 --compress zstd --storage Backup_Syno_213 --mode snapshot
INFO: Starting Backup of VM 210 (lxc)
INFO: Backup started at 2021-05-30 11:57:41
INFO: status = running
INFO: CT Name: fhem-live
INFO: including mount point rootfs ('/') in backup
INFO: backup mode: snapshot
INFO: ionice priority: 7
INFO: create storage snapshot 'vzdump'
  WARNING: You have not turned on protection against thin pools running out of space.
  WARNING: Set activation/thin_pool_autoextend_threshold below 100 to trigger automatic extension of thin pools before they get full.
  Logical volume "snap_vm-210-disk-0_vzdump" created.
  WARNING: Sum of all thin volume sizes (312.00 GiB) exceeds the size of thin pool pve/data and the size of whole volume group (232.38 GiB).
INFO: creating vzdump archive '/mnt/pve/Backup_Syno_213/dump/vzdump-lxc-210-2021_05_30-11_57_41.tar.zst'
INFO: tar: /mnt/pve/Backup_Syno_213/dump/vzdump-lxc-210-2021_05_30-11_57_41.tmp: Cannot open: Permission denied
INFO: tar: Error is not recoverable: exiting now
INFO: cleanup temporary 'vzdump' snapshot
  Logical volume "snap_vm-210-disk-0_vzdump" successfully removed
ERROR: Backup of VM 210 failed - command 'set -o pipefail && lxc-usernsexec -m u:0:100000:65536 -m g:0:100000:65536 -- tar cpf - --totals --one-file-system -p --sparse --numeric-owner --acls --xattrs '--xattrs-include=user.*' '--xattrs-include=security.capability' '--warning=no-file-ignored' '--warning=no-xattr-write' --one-file-system '--warning=no-file-ignored' '--directory=/mnt/pve/Backup_Syno_213/dump/vzdump-lxc-210-2021_05_30-11_57_41.tmp' ./etc/vzdump/pct.conf ./etc/vzdump/pct.fw '--directory=/mnt/vzsnap0' --no-anchored '--exclude=lost+found' --anchored '--exclude=./tmp/?*' '--exclude=./var/tmp/?*' '--exclude=./var/run/?*.pid' ./ | zstd --rsyncable '--threads=1' >/mnt/pve/Backup_Syno_213/dump/vzdump-lxc-210-2021_05_30-11_57_41.tar.dat' failed: exit code 2
INFO: Failed at 2021-05-30 11:57:42
INFO: Backup job finished with errors
TASK ERROR: job errors

Muss man den ProxmoxServer udn alle Container nachdem erstellen des neuen Users dann ev. neustarten?

Über ne Rückinfo herzlichen Dank.

Gruss
Kussel
 
Last edited:
Also bei mir habe ich einfach einen User mit dem Namen 10000 erstellt und dem User r/w Rechte gegeben und das PW hinterlegt.

Das hat das Problem gelöst.

Gruß,

Jan
Hallo Jan, welches pass hast du hinterlegt...das gleiche wie auf der Syno?
 
proxmox versucht ein Archive zu erstellen
Code:
/mnt/pve/Backup_Syno_213/dump/vzdump-lxc-210-2021_05_30-11_57_41.tar.zst
kann es aber nicht wegen den Rechtebn, deshalb:
Code:
/mnt/pve/Backup_Syno_213/dump/vzdump-lxc-210-2021_05_30-11_57_41.tmp: Cannot open: Permission denied

viel kann das doch nicht sein.....oder?
 
Ich habs hinbekommen...in der vzdump.conf war ein fehlerhafter Eintrag...nachdem ich den eintrag rivhtig gemachjt habe nämlich so:
Code:
# vzdump default settings
#tmpdir: DIR
tmpdir: /tmp
++klappt´s. Danke allen
 
Hallo,

wenn ich mir den Thread so durchlesen, scheint es mir die sauberste Lösung ist die Änderung der vzdump.conf Datei.
Wenn ich es richtig verstanden habe, wird die Sicherung erst mit unprivilegierten LXC rechten im /tmp Ordner gemacht und dann mit "echten" root rechten in das NFS verschoben.

Oder verstehe ich etwas falsch?


Grüße
Sven
 
wenn ich mir den Thread so durchlesen, scheint es mir die sauberste Lösung ist die Änderung der vzdump.conf Datei.
Wenn ich es richtig verstanden habe, wird die Sicherung erst mit unprivilegierten LXC rechten im /tmp Ordner gemacht und dann mit "echten" root rechten in das NFS verschoben.
Genau. Und beim Schreiben nach /tmp hat man keine Rechte-Probleme wegen dem Remapping, weil /tmp ja immer standardmäßig 777 Rechte hat und dort jeder Alles schreiben/lesen/ausführen darf.
 
Last edited:
Hallo,

bin neu und habe den Thread zu 75% gelesen =/. Ich stand vor dem selben Problem, habe dann aber die Synology als CIFS (bei der Einrichtung damals schlicht übersehen) eingebunden und seither keine Probleme. Oder gibt es einen Grund für NFS?

Grüße
Aaron
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!