[SOLVED] EPERM: Operation not permitted

Hi, freut mich zu hören dass es geht! Ich möchte aber noch erwähnen, dass die Option no_root_squash, je nach Umgebung, ein Sicherheitsrisiko sein kann [1], weil root auf dem Client mit dieser Option als root auf dem NFS-Share Daten lesen und schreiben kann. Besser wäre es, stattdessen all_squash zu nutzen und anonuid/anongid auf 34/34 (das ist der PBS-backup-User) zu setzen. Dann werden alle User (inklusive root) auf dem Client zu 34/34 auf dem Server übersetzt -- das sollte funktionieren, ich habs allerdings selbst nicht getestet.

[1]: https://tldp.org/HOWTO/NFS-HOWTO/security.html#SERVER.SECURITY
 
Last edited:
  • Like
Reactions: dah
fweber said:
Hi, freut mich zu hören dass es geht! Ich möchte aber noch erwähnen, dass die Option no_root_squash, je nach Umgebung, ein Sicherheitsrisiko sein kann [1], weil root auf dem Client mit dieser Option als root auf dem NFS-Share Daten lesen und schreiben kann. Besser wäre es, stattdessen all_squash zu nutzen und anonuid/anongid auf 34/34 (das ist der PBS-backup-User) zu setzen. Dann werden alle User (inklusive root) auf dem Client zu 34/34 auf dem Server übersetzt -- das sollte funktionieren, ich habs allerdings selbst nicht getestet.

[1]: https://tldp.org/HOWTO/NFS-HOWTO/security.html#SERVER.SECURITY
Click to expand...
Super feedback!
Vielen Dank!

Habe es angepasst:
Code: 
/RAID/PROXMOX/backup    192.168.52.202(rw,sync,all_squash,anonuid=34,anongid=34,no_subtree_check)
 
  • Like
Reactions: fweber
Ich bekomme leider auch die Fehlermeldung wenn ich einen Datastore anlegen möchte. Ich habe meine NAS jedoch über FSTB wie folgt gemountet

192.168.178.210:/nfs/proxmox /mnt/backup nfs defaults 0 0

als root kann ich auch in den gemounteten Ordner schreiben.

So wie ich die vorherigen Beiträge interpretiere muss ich "nur" den Mount-Eintrag ändern. Habe ich das richtige Verständnis? Und wie müsste der fstab-Eintrag denn aussehen?
 
dcsapak said:
mhm... es sieht zumindest so aus als sollte der backup user drauf schreiben können..
könntest dus auf der cli versuchen?
Code: 
proxmox-backup-manager datastore create
vielleicht sieht man ja hier mehr?
Click to expand...

Hallo,

ich hatte heute selbiges Problem - beim Aufruf über proxmox-backup-manager datastore create
bekomme ich ein permission denied entgegengeworfen.

Mittels sudo -u backup mkdir datastore konnte ich aber problemlos den Ordner für den Datastore auf dem NFS Pfad anlegen.
Wenn ich nun genauso einen leeren .chunks Ordner anlege, die 0000-ffff-Chunkordner erstelle und den Datastore per Hand in /etc/proxmox-backup/datastore.cfg eintrage funktioniert der Datastore auch.

Somit vermute ich einen Fehler der Create Funktion in proxmox-backup//src//api2//config//datastore.rs?

Bein NFS mount (ohne option no_root_squash auf dem NFS-Server) wird ja der root user auf nobody gemappt.

Gehe ich recht in der Annnahme dass /usr/lib/x86_64-linux-gnu/proxmox-backup/proxmox-backup-api, welches ja als root läuft den Datastore-Ordner auch als root versucht den Datastore zu konfigurieren/die 65335 Unterordner zu erstellen?

Abhilfe wäre, dies als 'backup'-user zu tun:

Beispiel (/mnt/test is ein NFS mount ohne no_root_squash):
Code: 
root@pbs:/mnt/test# mkdir chowntest && ll
drwxrwxrwx  8 root   root      8 Jun 22 03:48 .
drwxr-xr-x  4 root   root   4096 Jun 22 02:44 ..
drwxr-xr-x  2 nobody root      2 Jun 22 03:48 chowntest

root@pbs:/mnt/test# chown backup:backup chowntest && ll
drwxr-xr-x  2 backup backup      2 Jun 22 03:48 chowntest

root@pbs:/mnt/test# chmod 600 chowntest
chmod: changing permissions of 'chowntest': Operation not permitted
Weil root = nobody :)
So klappts:
Code: 
root@pbs:/mnt/test# sudo -u backup chmod 600 chowntest
root@pbs:/mnt/test# ll
drwxrwxrwx  8 root   root      8 Jun 22 03:48 .
drwxr-xr-x  4 root   root   4096 Jun 22 02:44 ..
drw-------  2 backup backup    2 Jun 22 03:48 chowntest

Vielleicht schaut sich das einer vom Team mal an? @fweber @dcsapak

Grüße

Sascha
 
Last edited:
You must log in or register to reply here.
Top Bottom