LXC Apparmor Fehlermeldung bei Grafana Installation

D

DRUROB

New Member
Aug 5, 2023
7
0
1
Hi!
Ich bin bei der Erstellung eines Containers auf deb12 Basis (deb12-Template) und der anschließenden Installation von Grafana auf ein Problem gestoßen.
Grafana-server ließ sich nicht starten. Bei einem Blick in das dmesg Protokoll sah ich die folgende Fehlermeldung:
Code: 
[44479.035141] audit: type=1400 audit(1697540640.688:237): apparmor="DENIED" operation="mount" class="mount" info="failed perms check" error=-13 profile="lxc-203_</var/lib/lxc>" name="/run/systemd/unit-root/" pid=240062 comm="(grafana)" srcname="/" flags="rw, rbind"

Beim googeln kam heraus das irgendwas mit dem Kernel nicht stimmt bzw das apparmor dort irgendwas blockt.
Leider reicht mein Verständnis-English für mehr nicht aus. Ich würde auch ungern an der Host Maschine etwas ändern ohne etwas Hintergrundwissen.

Kann mich dort jemands mal abholen wo das Problem liegt? Kann man das wirklich beheben indem man in der Container Config dort Einträge macht?

Da ich bestimmt nicht der erste bin der Grafana im CT nutzen möchte ist doch bestimmt schon mal sowas gelöst worden.
Oder lieber eine eigene VM erstellen? die teilt sich doch dann keinen Kernel, sondern hat ihren eigenen, oder?

VG ROB
 
DRUROB said:
Hi!
Ich bin bei der Erstellung eines Containers auf deb12 Basis (deb12-Template) und der anschließenden Installation von Grafana auf ein Problem gestoßen.
Grafana-server ließ sich nicht starten. Bei einem Blick in das dmesg Protokoll sah ich die folgende Fehlermeldung:
Code: 
[44479.035141] audit: type=1400 audit(1697540640.688:237): apparmor="DENIED" operation="mount" class="mount" info="failed perms check" error=-13 profile="lxc-203_</var/lib/lxc>" name="/run/systemd/unit-root/" pid=240062 comm="(grafana)" srcname="/" flags="rw, rbind"

Beim googeln kam heraus das irgendwas mit dem Kernel nicht stimmt bzw das apparmor dort irgendwas blockt.
Leider reicht mein Verständnis-English für mehr nicht aus. Ich würde auch ungern an der Host Maschine etwas ändern ohne etwas Hintergrundwissen.

Kann mich dort jemands mal abholen wo das Problem liegt? Kann man das wirklich beheben indem man in der Container Config dort Einträge macht?

Da ich bestimmt nicht der erste bin der Grafana im CT nutzen möchte ist doch bestimmt schon mal sowas gelöst worden.
Oder lieber eine eigene VM erstellen? die teilt sich doch dann keinen Kernel, sondern hat ihren eigenen, oder?

VG ROB
Click to expand...
Hallo,
bitte Versuch das nesting feature zu aktivieren. Dazu <Container> > Options > Features > Edit > Nesting aktivieren. Dadurch werden procfs und sysfs des Hosts im Container sichtbar. Hat also auch Implikationen hinsichtlich Host Isolation, es empfiehlt sich daher den Grafana Container also nicht aus dem Internet erreichbar zu machen.
 
Hi Chris!
Das hat direkt geklappt! Also fast ;)
Das Feature war bei mir nicht vorhanden weil mit der Option unprivileged=no erstellt wurde.
Hab kurzerhand einen neuen CT erstellt und dann hat alles direkt funktioniert. Ich danke dir!
Den Unterschied zwischen beiden Arten verstehe ich nur in den Rechten?
 
DRUROB said:
Hi Chris!
Das hat direkt geklappt! Also fast ;)
Das Feature war bei mir nicht vorhanden weil mit der Option unprivileged=no erstellt wurde.
Hab kurzerhand einen neuen CT erstellt und dann hat alles direkt funktioniert. Ich danke dir!
Den Unterschied zwischen beiden Arten verstehe ich nur in den Rechten?
Click to expand...
Unprivileged container verwenden Linux namespaces und uid/gid mapping zur Isolation der Prozesse des CT, sind besser vom Host isoliert und sicherer, daher mittlerweile auch das default setting und den privileged CT vorzuziehen. Details dazu sind hier zu finden https://pve.proxmox.com/wiki/Unprivileged_LXC_containers
 
  • Like
Reactions: DRUROB
You must log in or register to reply here.
Top Bottom