LXC Apparmor Fehlermeldung bei Grafana Installation

DRUROB

New Member
Aug 5, 2023
7
0
1
Hi!
Ich bin bei der Erstellung eines Containers auf deb12 Basis (deb12-Template) und der anschließenden Installation von Grafana auf ein Problem gestoßen.
Grafana-server ließ sich nicht starten. Bei einem Blick in das dmesg Protokoll sah ich die folgende Fehlermeldung:
Code:
[44479.035141] audit: type=1400 audit(1697540640.688:237): apparmor="DENIED" operation="mount" class="mount" info="failed perms check" error=-13 profile="lxc-203_</var/lib/lxc>" name="/run/systemd/unit-root/" pid=240062 comm="(grafana)" srcname="/" flags="rw, rbind"

Beim googeln kam heraus das irgendwas mit dem Kernel nicht stimmt bzw das apparmor dort irgendwas blockt.
Leider reicht mein Verständnis-English für mehr nicht aus. Ich würde auch ungern an der Host Maschine etwas ändern ohne etwas Hintergrundwissen.

Kann mich dort jemands mal abholen wo das Problem liegt? Kann man das wirklich beheben indem man in der Container Config dort Einträge macht?

Da ich bestimmt nicht der erste bin der Grafana im CT nutzen möchte ist doch bestimmt schon mal sowas gelöst worden.
Oder lieber eine eigene VM erstellen? die teilt sich doch dann keinen Kernel, sondern hat ihren eigenen, oder?

VG ROB
 
Hi!
Ich bin bei der Erstellung eines Containers auf deb12 Basis (deb12-Template) und der anschließenden Installation von Grafana auf ein Problem gestoßen.
Grafana-server ließ sich nicht starten. Bei einem Blick in das dmesg Protokoll sah ich die folgende Fehlermeldung:
Code:
[44479.035141] audit: type=1400 audit(1697540640.688:237): apparmor="DENIED" operation="mount" class="mount" info="failed perms check" error=-13 profile="lxc-203_</var/lib/lxc>" name="/run/systemd/unit-root/" pid=240062 comm="(grafana)" srcname="/" flags="rw, rbind"

Beim googeln kam heraus das irgendwas mit dem Kernel nicht stimmt bzw das apparmor dort irgendwas blockt.
Leider reicht mein Verständnis-English für mehr nicht aus. Ich würde auch ungern an der Host Maschine etwas ändern ohne etwas Hintergrundwissen.

Kann mich dort jemands mal abholen wo das Problem liegt? Kann man das wirklich beheben indem man in der Container Config dort Einträge macht?

Da ich bestimmt nicht der erste bin der Grafana im CT nutzen möchte ist doch bestimmt schon mal sowas gelöst worden.
Oder lieber eine eigene VM erstellen? die teilt sich doch dann keinen Kernel, sondern hat ihren eigenen, oder?

VG ROB
Hallo,
bitte Versuch das nesting feature zu aktivieren. Dazu <Container> > Options > Features > Edit > Nesting aktivieren. Dadurch werden procfs und sysfs des Hosts im Container sichtbar. Hat also auch Implikationen hinsichtlich Host Isolation, es empfiehlt sich daher den Grafana Container also nicht aus dem Internet erreichbar zu machen.
 
Hi Chris!
Das hat direkt geklappt! Also fast ;)
Das Feature war bei mir nicht vorhanden weil mit der Option unprivileged=no erstellt wurde.
Hab kurzerhand einen neuen CT erstellt und dann hat alles direkt funktioniert. Ich danke dir!
Den Unterschied zwischen beiden Arten verstehe ich nur in den Rechten?
 
Hi Chris!
Das hat direkt geklappt! Also fast ;)
Das Feature war bei mir nicht vorhanden weil mit der Option unprivileged=no erstellt wurde.
Hab kurzerhand einen neuen CT erstellt und dann hat alles direkt funktioniert. Ich danke dir!
Den Unterschied zwischen beiden Arten verstehe ich nur in den Rechten?
Unprivileged container verwenden Linux namespaces und uid/gid mapping zur Isolation der Prozesse des CT, sind besser vom Host isoliert und sicherer, daher mittlerweile auch das default setting und den privileged CT vorzuziehen. Details dazu sind hier zu finden https://pve.proxmox.com/wiki/Unprivileged_LXC_containers
 
  • Like
Reactions: DRUROB

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!