Mountpoint externe SSD Syncthing

M

marc90

New Member
Mar 21, 2024
4
0
1
Hallo zusammen,
erstmal vielen Dank für das tolle Forum, ich habe schon eine menge lernen können.
Aber ich habe ein Problem bei dem ich einfach nicht weiter komme.
Ich möchte gerne in einem LXC Container einen Mountpoint von meine externen SSD erstellen mit lese und schreibrechten.
Ich wollte es mir einfach machen und habe es nach dieser Anleitung probiert :
https://gist.github.com/ajmassi/e6862294d114467b46f9b7f073921352
Das hat auch alles funktioniert. Im LXC konnte ich schreiben und lesen. Aber jetzt zum Problem.
Mit dem Programm Syncthing hat es leider nicht geklappt. Er konnte die Dateien im Mountpoint einfach nicht erkennen bzw sehen. Auch wenn ich mit WinSCP konnte ich keine Dateien sehen.
Dann habe ich es mit der Offiziellen Anleitung probiert.
https://pve.proxmox.com/wiki/Unprivileged_LXC_containers
Leider kann ich da im LXC die Daten nur sehen wenn ich mich als root eingeloggt habe, aber als Benutzer ist der Ordner einfach leer.

Ist es überhaupt möglich, dass Syncthing die Dateien im Mountpoint sehen kann bzw schreiben?

Hier mal meine Einstellungen:
/etc/pve/lxc/193.conf
Code: 
arch: amd64
cores: 2
features: nesting=1
hostname: freigabe
memory: 4096
mp0: /mnt/pve/smbSSD,mp=/smbSSD
net0: name=eth0,bridge=vmbr0,firewall=1,gw=192.168.188.1,hwaddr=BC:24:11:21:56:05,ip>
ostype: debian
rootfs: SSD1TB:193/vm-193-disk-0.raw,size=20G
swap: 4096
unprivileged: 1
lxc.idmap: u 0 100000 1100
lxc.idmap: g 0 100000 1100
lxc.idmap: u 1100 1100 1
lxc.idmap: g 1100 1100 1
lxc.idmap: u 1101 101101 64435
lxc.idmap: g 1101 101101 64435

/etc/subuid
Code: 
root:100000:65536
root:1100:1

/etc/subgid
Code: 
root:100000:65536
root:1100:1

ID host
uid=0(root) gid=0(root) groups=0(root)
ID LXC
uid=1000(marc) gid=1000(marc) Gruppen=1000(marc),27(sudo),100(users)

Ich hoffe ihr habt ein Idee.
 
TErxleben said:
Klingt für mich doch nach Rechteproble
Click to expand...
Wenn ich von oben die 1100 in 1000 ändere, dann funktioniert das auch mit den rechten für den Freigabeordner aber, dann geht syncthing nicht mehr, weil ihm die rechte dafür fehlen zu starten.
 
Sag ich doch. Irgendein Rechteproblem.
Darf ich fragen, warum du mit unprivileged lxc hantierst?
Vielleicht lässt sich das anders lösen?
 
TErxleben said:
Sag ich doch. Irgendein Rechteproblem.
Darf ich fragen, warum du mit unprivileged lxc hantierst?
Vielleicht lässt sich das anders lösen?
Click to expand...
Ich habe halt überall gelesen das es mit unprivileged an sichersten sein soll.
Ich habe halt eine Möglichkeit gesucht mein Speicher durchzureichen.
VM finde ich schluckt so viele Ressourcen.
Habe jetzt schon so 10 lxc am laufen.
 
marc90 said:
Ist es überhaupt möglich, dass Syncthing die Dateien im Mountpoint sehen kann bzw schreiben?
Click to expand...
Sehe nicht warum es nicht gehen sollte. Du musst halt nur immer das User-/Group-Remapping im Hinterkopf haben. Hat dein Syncthing User z.B. die UID 1000 im LXC, dann müssen die Daten auf dem PVE Host dem User mit der UID 101000 gehören, wenn du deine Remappings nicht manuell abänderst. Im LXC sind ja alle UIDs/GIDs um 100000 verschoben.

marc90 said:
Ich habe halt überall gelesen das es mit unprivileged an sichersten sein soll.
Click to expand...
Sicher als ein privilegierter LXC. Trotzdem viel unsicherer als eine VM.

marc90 said:
VM finde ich schluckt so viele Ressourcen.
Click to expand...
Tut sie auch. Unprivilegierte LXCs nutze ich persönlich z.B. garnicht mehr.
Wenn etwas sicher oder zuverlässig sein muss, weil kritische Dienste oder vom Internet aus erreichbar, dann vermeide ich gleich LXCs komplett und nehme eine VM. Ist mir der Dienst nicht so wichtig und ist der Dienst auch nur lokal erreichbar, dann brauche ich mir bei der Sicherheit auch nicht so den Kopf machen und dann nehme ich gleich den unsicheren privilegierten LXCs.

marc90 said:
ID LXC
uid=1000(marc) gid=1000(marc) Gruppen=1000(marc),27(sudo),100(users)
Click to expand...
Du erlaubst nur UID 1100 im LXC auf Daten von UID 1100 auf dem Host zuzugreifen. Weder "root" noch "marc" sollten also im LXC Rechte haben an die Daten vom bind-mount zu kommen.
 
Last edited:
Dunuin said:
Sehe nicht warum es nicht gehen sollte. Du musst halt nur immer das User-/Group-Remapping im Hinterkopf haben. Hat dein Syncthing User z.B. die UID 1000 im LXC, dann müssen die Daten auf dem PVE Host dem User mit der UID 101000 gehören, wenn du deine Remappings nicht manuell abänderst. Im LXC sind ja alle UIDs/GIDs um 100000 verschoben.


Sicher als ein privilegierter LXC. Trotzdem viel unsicherer als eine VM.


Tut sie auch. Unprivilegierte LXCs nutze ich persönlich z.B. garnicht mehr.
Wenn etwas sicher oder zuverlässig sein muss, weil kritische Dienste oder vom Internet aus erreichbar, dann vermeide ich gleich LXCs komplett und nehme eine VM. Ist mir der Dienst nicht so wichtig und ist der Dienst auch nur lokal erreichbar, dann brauche ich mir bei der Sicherheit auch nicht so den Kopf machen und dann nehme ich gleich den unsicheren privilegierten LXCs.


Du erlaubst nur UID 1100 im LXC auf Daten von UID 1100 auf dem Host zuzugreifen. Weder "root" noch "marc" sollten also im LXC Rechte haben an die Daten vom bind-mount zu kommen.
Click to expand...
Vielen Dank für die ausführliche Antwort.
Müsste ich dann im Host noch einen Benutzer Marc erstellen mit der uid 101100 und die rechte auf dem mount geben ?
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back