LXC Container

F

fantozzi

Member
Dec 7, 2023
99
0
6
Hallo zusammen,

ich bin ja neu in der Proxmox bzw. Linux Welt und hätte eine Frage zu Erstellung eines LXC Containers. Ich habe verstanden, dass man aus Sicherheitsgründen einen LXC Container grundsätzlich immer nicht privilegiert erstellen sollte. Gibt es eine allgemeine Empfehlung bzw. Regel, wann etwas dafür und dagegen sprechen würde?
 
In unprivilegierten LXC kannst du z.B. keine NFS/SMB shares mounten. Das geht dann nur sehr nervig indirekt über workarounds die dann wieder Abhängigkeiten erhöhen und so ein Migrieren oder Wiederherstellen auf einen anderen/neuen Node erschweren. In dem Fall greift man dann besser zum unsichereren privilegierten LXC oder gleich zur noch sichereren VM welche das beide direkt können.
Ähnliches wenn du einen LXC willst, damit der die Hardware vom Host mitbenutzen kann. Beim unprivilegierten LXC musst du dann den Host für manuelles User-Remapping anpassen, weil sonst kein user im LXC, nicht mal dessen root, auf Host-Ressourcen zugreifen kann.

Für mich selbst sind die unprivilegierten LXCs nicht so wichtig und ich versuche sie zu vermeiden. Entweder mir ist ein Dienst und dessen Sicherheit wichtig, dann greife ich gleich zur VM. Ist mir der Dienst und dessen Sicherheit nicht wichtig, dass ich da keine VM brauche, dann kann ich mir auch Frust/Arbeit sparen und gleich zum privilegierten LXC greifen.
Alles was also irgendwie öffentlich angreifbar wäre sind bei mir immer VMs. Und wenn ich LXCs nur für nicht öffentlich angreifbares in der DMZ nehme, dann ist es auch nicht mehr wild, wenn das ein privilegierter statt unprivilegierter LXC ist und dessen root nicht unprivilegiert läuft.
 
Last edited:
Wenn zB Dienste wie CIFs oder NFS genutzt werden sollen, muss der Container privilegiert sein.

Es kommt immer auf darauf an was der Container machen soll ...
 
Ok verstehe. Ich habe für den Anfang AdguardHome über ein Helper Script installiert. Ich glaube dabei wurde automatisch ein unprivilegierter Container erstellt. Also Dienste wie Nextcloud, Open Media Vault als Beispiel sollten lieber in einer VM laufen? Für diese Dienste werden z.B. über Turnkey auch bereits LXC Templates angeboten.
 
Naja, sicher werden Dienste nur, wenn man weiß was man da tut und die selbst von Grund auf aufsetzt und extra absichert. Nutzt man da Helper Scripts oder Turnkey-Container lernt man weder wie da alles funktioniert, noch weiß man was da unter der Oberfläche überhaupt vor sich geht und toll abgesichert sind die auch in den wenigsten Fällen.

Ist also eine Frage der Ansprüche. Ob man da einfach nur Quick&Dirty schnell eine Appliance aufsetzen will oder es richtig macht, was dann Monate/Jahre an lernen erfordert und unzählige Stunden an Arbeit ist das aufzusetzen und aktuell zu halten.
Wenn ich da die Sicherheit nicht härte und nicht schnell die Sicherheitslücken schließe, dann hilft es auch nicht viel ob da ein LXC unprivilegiert statt privilegiert betreibe.
 
Last edited:
Du hast natürlich recht, dass die Lernkurve eine ganz andere ist, wenn man sich als Anfänger zunächst eine fundierte Basis aneignet.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom