Container unprivilegiert - Mount aufs NAS

lenny30

Member
May 26, 2020
50
2
8
39
Hi,
wie kann man einen unprevilegierten Container auf ein NAS mounten lassen?
Ich bekomme immer die Meldung "permission denied"

Sollte das gar nicht möglich sein, gibt es eine Möglichkeit, den Container in Privilegiert zu ändern?

Danke
 
Last edited:

gmed

Well-Known Member
Dec 20, 2013
313
41
48
Das geht nur bei previlegierten Containern.
Um zu Wechseln machst du ein Backup des LXC und danach einen Restore.
Bei Restore-Dialog kannst du angeben, das der danach previlegiert sein soll.
Nach dem Restore in den Optionen noch NFS-Mount erlauben.
 

lenny30

Member
May 26, 2020
50
2
8
39
Klasse, das hat hervorragend geklappt. Danke!

Worin unterscheiden sich die beiden Modi?
 

gmed

Well-Known Member
Dec 20, 2013
313
41
48
Prima

Die Modi unterscheiden sich, salopp ausgedrückt, darin, dass previligierte Container mehr dürfen als ihre unpreviligierten Kollegen.
Zum Beispiel das Mounten von CIFS/ NFS Freigaben.
Aber auch Zugriff auf weitere Systemverzeichnisse im Host.
Was aber auch Nachteile in der Sicherheit mitbringt, da derartige Container eben erweiterte Zugriffsrechte auf gemeinsam genutzte Bereiche im Host haben.

Daher sollte man bei öffentlichen Diensten das wissen.
Evtl. ist man dann ab einem gewissen Punkt mit einer KVM-Maschine sicherer unterwegs. Mit dem Nachteil, dass diese mehr Ressourcen braucht, da ja eben CPU, RAM etc. nicht mitgenutzt werden.
 

gmed

Well-Known Member
Dec 20, 2013
313
41
48
Den Artikel verstehe ich so, dass man das NFS-Share auf dem Host mounted und dann an den CT weiter reicht.
Und das es dabei zu Problemen mit den UID's kommen kann etc.
Es ist eine Lösung zur Aufgabe "gib NFS-Platz an einen Container",
aber nach meinem Verständnis nicht das Gleiche,
als wie wenn der CT intern das NFS-Share direkt mounted?
 

fireon

Famous Member
Oct 25, 2010
3,421
253
103
38
Austria/Graz
iteas.at
Den Artikel verstehe ich so, dass man das NFS-Share auf dem Host mounted und dann an den CT weiter reicht.
Und das es dabei zu Problemen mit den UID's kommen kann etc.
Es ist eine Lösung zur Aufgabe "gib NFS-Platz an einen Container",
aber nach meinem Verständnis nicht das Gleiche,
als wie wenn der CT intern das NFS-Share direkt mounted?
Ich hab da nicht viel getestet, aber was ich weis geht NFSmount glaub ich im unpr. CT gar nicht. Zumindest kann man die Option im PVE Webinterface nicht setzen.
 

gmed

Well-Known Member
Dec 20, 2013
313
41
48
Für den NFS-Mount braucht es Zugriff auf Module vom Host, was bei unpreviligierten LXC's eben eingeschränkt ist aus Sicherheitsgründen.
So hab ich das zumindest verstanden.
LXC nutzen ja Teile des Hosts mit, weshalb die ja so rank und schlank daher kommen.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE and Proxmox Mail Gateway. We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!