lsblk

C

clever123

New Member
Jan 9, 2024
3
0
1
Hallo,

kann das sein, wenn ich bei einem LXC den Befehl lsblk ausführe alle Platten des Hostsystem aufgezeigt bekomme?
Im Moment verwende ich 8.1.3, bei den vorherigen Version habe ich immer die Platten des LXC angezeigt gekommen, das stellt doch
auch ein Sicherheitsproblem dar, oder?Bildschirmfoto 2024-01-09 um 11.06.58.png
 
Hallo,

LXC beruht auf Paravirtualisierung.
Das heisst, dass Du eigentlich immer noch im System des Hypervisors Prozesse ausführst, die sind aber in Namespaces und in Cgroups eingesperrt.
Das eingeschränkte System braucht dennoch immer noch Zugang zum Hardware, deshalb siehst Du alle Blöcke in lsblk.
Es ist normal, und die Zugänge zu Blöcke, die deinem LXC-Container nicht zugewiesen wurden, sind auch eingeschränkt.

Falls dir aber diese Art von Virtualisierung aus Datenschutzgründen nicht passt schlage ich vor, dass Du eine vollständige VM mit KVM/qemu erstellst. Proxmox bietet Beides, und in dem Fall wird dein System viel mehr isoliert sein.

Viele Grüsse,

GD
 
linux bietet keine moeglichkeit fuer "Device Namespaces", das ist also bei LXC immer schon so gewesen. ohne /sys und /proc (dort finden sich diese informationen) koenntest du nur sehr spezielle payloads im container laufen haben. nur weil die host block devices sichtbar sind, heisst im uebrigen nicht dass du im container auch was damit machen kannst (ausser du hast gewisse sicherheitsfeatures wie apparmor, unprivileged container, .. abgedreht/angepasst).

vielleicht war deine "vorherige version" noch PVE 3 mit OpenVZ? damals gab es ein paar features die in den kernel reingepatched waren und mehr kontrolle ermoeglicht haben, die sind aber nie upstream/im normalen Linux kernel enthalten gewesen.
 
Guillaume Delanoy said:
Hallo,

LXC beruht auf Paravirtualisierung.
Das heisst, dass Du eigentlich immer noch im System des Hypervisors Prozesse ausführst, die sind aber in Namespaces und in Cgroups eingesperrt.
Das eingeschränkte System braucht dennoch immer noch Zugang zum Hardware, deshalb siehst Du alle Blöcke in lsblk.
Es ist normal, und die Zugänge zu Blöcke, die deinem LXC-Container nicht zugewiesen wurden, sind auch eingeschränkt.

Falls dir aber diese Art von Virtualisierung aus Datenschutzgründen nicht passt schlage ich vor, dass Du eine vollständige VM mit KVM/qemu erstellst. Proxmox bietet Beides, und in dem Fall wird dein System viel mehr isoliert sein.

Viele Grüsse,

GD
Click to expand...
Danke, hat mir weitergeholfen
 
fabian said:
linux bietet keine moeglichkeit fuer "Device Namespaces", das ist also bei LXC immer schon so gewesen. ohne /sys und /proc (dort finden sich diese informationen) koenntest du nur sehr spezielle payloads im container laufen haben. nur weil die host block devices sichtbar sind, heisst im uebrigen nicht dass du im container auch was damit machen kannst (ausser du hast gewisse sicherheitsfeatures wie apparmor, unprivileged container, .. abgedreht/angepasst).

vielleicht war deine "vorherige version" noch PVE 3 mit OpenVZ? damals gab es ein paar features die in den kernel reingepatched waren und mehr kontrolle ermoeglicht haben, die sind aber nie upstream/im normalen Linux kernel enthalten gewesen.
Click to expand...
Danke, hat mir weitergeholfen
 
You must log in or register to reply here.
Top Bottom