[SOLVED] CIFS Share und/oder Docker Container?

HansPeter12

Member
Dec 10, 2019
37
0
11
23
Hallo!
Ich möchte in meinem lxc Container ein CIFS-share und einen Docker Container laufen lassen.
Leider ist es wohl so, dass man für CIFS privilegiert benötigt und für Docker unprivilegiert benötigt. Kann ich das irgendwie umgehen bzw. lösen?
Error-Code: docker: Error response from daemon: failed to create shim: OCI runtime create failed: container_linux.go:380: starting container process caused: apply caps: operation not permitted: unknown.
Danke schonmal!
PS: Zur Not würde auch ein NFS-Share gehen(Oder auch eine andere Technologie, Hauptsache ein shared-storage)
 
Last edited:
NFS geht auch nur im privilegierten.

Was du aber machen kannst ist deinen SMB Share auf dem Host mounten, dann dessen Mounitpoint per bind-mount in den unprivilegierten LXC bringen. Dann kann dein unprivilegierter Docker-LXC indirekt auf deinen SMB-Share zugreifen. So mache ich das hier bei mir mit SMB shares für meinen Docker-LXC.
Ist aber nicht ganz einfach, weil du dich bei bind-mounts unter unprivilegierten LXCs selbst um das User/Group-Remapping kümmern musst, sonst hast du im LXC keine Rechte irgendwie auf den bind-mount zugreifen zu können.

Zum Verständnis:
In einem privilegierten LXC sind deine Nutzer/Gruppen auf dem Host und im LXC die gleichen. Ist sehr unschön, weil der Root User (UID 0) im LXC dann auch der Root User (UID 0) auf dem Host ist. Hackt dir da wer den privilegierten LXC und erhält da Root-Rechte, dann ist es auch nicht mehr weit Zugriff auf den Host zu erhalten. Root User des Hosts ist man ja quasi schon.
Um dieses Sicherheitsproblem zu umgehen nutzen unprivilegierte LXCs User-Remapping. Was du dann im LXC als UID 0 bis 65535 siehst läuft aber tatsächlich als UID 100000 bis 165535 auf dem Host. DAs heißt dann aber auch wenn dein SMB-Share auf dem Host dem User mit der UID 1000 gehört, dass da der User mit der UID 1000 im LXC tatsächlich die UID 101000 hat. Da musst du dann das Remapping manuell anpassen, dass zwar 0-999 auf 100000-100999 und 1001-65535 auf 101001-165535 gemappt werden aber 1000 auf 1000 gemappt wird...also unverändert bleibt.
Dann stimmen die Rechte für den Mountpoint auf dem Host mit dem User im LXC überein, der auf den Mountpoint Zugriff erhalten soll.

Hier steht wie das mit dem Remapping geht.
 
Last edited:

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!