Container unprivilegiert - Mount aufs NAS

lenny30

Member
May 26, 2020
106
8
23
44
Hi,
wie kann man einen unprevilegierten Container auf ein NAS mounten lassen?
Ich bekomme immer die Meldung "permission denied"

Sollte das gar nicht möglich sein, gibt es eine Möglichkeit, den Container in Privilegiert zu ändern?

Danke
 
Last edited:
Das geht nur bei previlegierten Containern.
Um zu Wechseln machst du ein Backup des LXC und danach einen Restore.
Bei Restore-Dialog kannst du angeben, das der danach previlegiert sein soll.
Nach dem Restore in den Optionen noch NFS-Mount erlauben.
 
Klasse, das hat hervorragend geklappt. Danke!

Worin unterscheiden sich die beiden Modi?
 
Prima

Die Modi unterscheiden sich, salopp ausgedrückt, darin, dass previligierte Container mehr dürfen als ihre unpreviligierten Kollegen.
Zum Beispiel das Mounten von CIFS/ NFS Freigaben.
Aber auch Zugriff auf weitere Systemverzeichnisse im Host.
Was aber auch Nachteile in der Sicherheit mitbringt, da derartige Container eben erweiterte Zugriffsrechte auf gemeinsam genutzte Bereiche im Host haben.

Daher sollte man bei öffentlichen Diensten das wissen.
Evtl. ist man dann ab einem gewissen Punkt mit einer KVM-Maschine sicherer unterwegs. Mit dem Nachteil, dass diese mehr Ressourcen braucht, da ja eben CPU, RAM etc. nicht mitgenutzt werden.
 
  • Like
Reactions: Gartenzwerg
Den Artikel verstehe ich so, dass man das NFS-Share auf dem Host mounted und dann an den CT weiter reicht.
Und das es dabei zu Problemen mit den UID's kommen kann etc.
Es ist eine Lösung zur Aufgabe "gib NFS-Platz an einen Container",
aber nach meinem Verständnis nicht das Gleiche,
als wie wenn der CT intern das NFS-Share direkt mounted?
 
Den Artikel verstehe ich so, dass man das NFS-Share auf dem Host mounted und dann an den CT weiter reicht.
Und das es dabei zu Problemen mit den UID's kommen kann etc.
Es ist eine Lösung zur Aufgabe "gib NFS-Platz an einen Container",
aber nach meinem Verständnis nicht das Gleiche,
als wie wenn der CT intern das NFS-Share direkt mounted?
Ich hab da nicht viel getestet, aber was ich weis geht NFSmount glaub ich im unpr. CT gar nicht. Zumindest kann man die Option im PVE Webinterface nicht setzen.
 
Für den NFS-Mount braucht es Zugriff auf Module vom Host, was bei unpreviligierten LXC's eben eingeschränkt ist aus Sicherheitsgründen.
So hab ich das zumindest verstanden.
LXC nutzen ja Teile des Hosts mit, weshalb die ja so rank und schlank daher kommen.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!