LXC Containers und apparmor problem

T

tuxoche

New Member
Mar 31, 2024
4
0
1
Hallo,

habe merhere LXC Container u.a. Nextclioud heute mittag folgende Fehler im log
fw kernel: audit: type=1400 audit(1763929201.984:11346): apparmor="DENIED" operation="sendmsg" class="file" namespace="root//lxc-104_<-var-lib-lxc>" profile="rsyslo
gd" name="/run/systemd/journal/dev-log" pid=3482858 comm="systemd-journal" requested_mask="r" denied_mask="r" fsuid=100000 ouid=10000

Ich muss dazu sagen, dass alle Container rsyslog installiert haben und der Syslog dann an den eigentliche Proxmox host gehen, so kann ich mit einer SSH Sitzung die Logs alle LXC sehen.

Alle Container mit dieser Fehlermelduing basieren auf ubuntu Templates

Wäre für Hilfe echt dankbar

ciao tuxoche
 
Bei mir ähnlich:

[260391.702166] audit: type=1400 audit(1763934637.959:162): apparmor="DENIED" operation="getattr" class="posix_mqueue" profile="/usr/bin/lxc-start" name="/" pid=797957 comm="vgs" requested="getattr" denied="getattr" class="posix_mqueue" fsuid=0 ouid=0 olabel="unconfined"
[260391.759376] audit: type=1400 audit(1763934638.016:163): apparmor="DENIED" operation="getattr" class="posix_mqueue" profile="/usr/bin/lxc-start" name="/" pid=797958 comm="lvs" requested="getattr" denied="getattr" class="posix_mqueue" fsuid=0 ouid=0 olabel="unconfined"

Habe 2 Container erstellt via "Pull from OCI Registry" - aber bekomme sie nicht gestartet.

Habe bei beiden zuerst die Zeile mit mqueue und dann die mit unconfined in der Contrainer-Conf getestet: ohne Wirkung

lxc.apparmor.raw: allow mqueue,
lxc.apparmor.profile: unconfined

Die Fehlermeldung ist zwar nicht die gleiche wie beim TE aber evtl. die Lösung
:)
 
@little_endian, dein Fehlerbild unterscheidet sich technisch vom ursprünglichen Post (bei dir wird der Host-Prozess /usr/bin/lxc-start blockiert, nicht ein Dienst im Container). Bitte erstelle dafür einen eigenen Thread und poste dort den Output von pveversion -v.

@tuxoche, der Fehler bei rsyslog liegt meist daran, dass der Dienst versucht, Kernel-Logs via imklog zu lesen, was im Container nicht erlaubt ist. Lösung: Kommentiere in der /etc/rsyslog.conf (innerhalb der betroffenen Container) die Zeile module(load="imklog") aus und starte den Dienst neu.
 
You must log in or register to reply here.
Top Bottom