Nach Update auf 6.2 Fehlermeldung beim Start von LXC Container

[tobi471]

Hallo zusammen,

nach dem heutigen Update habe ich im Syslog einen Fehler beim start eines LXC Containers (Turnkey Filserver 15.0) bemerkt.
Der Container startet und funktioniert eigentlich auch. Was ist hier das Problem? Danke für Eure Unterstützung.

Config des Containers:

arch: amd64
cores: 1
hostname: turnkey1
memory: 512
mp0: HDD2:subvol-111-disk-0,mp=/smb1,backup=1,size=1000G
net0: name=eth0,bridge=vmbr0,firewall=1,gw=192.168.0.1,hwaddr=1A:4A:92:2A:D7:E3,ip=192.168.0.202/24,type=veth
onboot: 1
ostype: debian
parent: vor_update1
rootfs: local-zfs:subvol-111-disk-0,size=4G
swap: 512

May 12 20:27:32 server audit[12179]: AVC apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="/usr/bin/lxc-start" name="/proc/sys/kernel/random/boot_id" pid=12179 comm="lxc-start" srcname="/dev/.lxc-boot-id" flags="rw, bind"
May 12 20:27:32 server kernel: audit: type=1400 audit(1589308052.825:37): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="/usr/bin/lxc-start" name="/proc/sys/kernel/random/boot_id" pid=12179 comm="lxc-start" srcname="/dev/.lxc-boot-id" flags="rw, bind"
May 12 20:27:32 server audit[12328]: AVC apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/run/rpc_pipefs/" pid=12328 comm="mount" fstype="rpc_pipefs" srcname="sunrpc"
May 12 20:27:32 server audit[12329]: AVC apparmor="DENIED" operation="mount" info="failed type match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/proc/fs/nfsd/" pid=12329 comm="mount" fstype="nfsd" srcname="nfsd"
May 12 20:27:32 server audit[12329]: AVC apparmor="DENIED" operation="mount" info="failed type match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/proc/fs/nfsd/" pid=12329 comm="mount" fstype="nfsd" srcname="nfsd" flags="ro"
May 12 20:27:32 server kernel: audit: type=1400 audit(1589308052.873:38): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/run/rpc_pipefs/" pid=12328 comm="mount" fstype="rpc_pipefs" srcname="sunrpc"
May 12 20:27:32 server kernel: audit: type=1400 audit(1589308052.873:39): apparmor="DENIED" operation="mount" info="failed type match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/proc/fs/nfsd/" pid=12329 comm="mount" fstype="nfsd" srcname="nfsd"
May 12 20:27:32 server kernel: audit: type=1400 audit(1589308052.873:40): apparmor="DENIED" operation="mount" info="failed type match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/proc/fs/nfsd/" pid=12329 comm="mount" fstype="nfsd" srcname="nfsd" flags="ro"

 

[t.lamprecht]

Die "Fehler" sollten vorher auch da gewesen sein, funktioniert der NFS export des CT?

 

[tobi471]

Hallo,

vielen Dank für deine Unterstützung.

Es ist gut möglich das der Fehler auch schon vorher da war, ich ihn aber nicht bemerkt habe.
Ich habe schon länger keine Backups mehr über nfs ausgeführt, da ich mittlerweile auf cifs umgestiegen bin.

Ich habe jetzt aber mal ein Backup eines nfs Containers über nfs gestartet und siehe da, es Bricht mit einer Fehlermeldung ab.
Andere Container könen aber ein BAckup über nfs durchführen.
Ich habe auch mal testweise die Firewall deaktiviert, jedoch ohne Erfolg.

Virtual Environment 6.2-4
Container 100 (pihole) auf Knoten 'server'
Logs
()
INFO: starting new backup job: vzdump 100 --compress zstd --mode stop --node server --remove 0 --storage nas-alt-nfs
INFO: Starting Backup of VM 100 (lxc)
INFO: Backup started at 2020-05-13 15:20:38
INFO: status = running
INFO: backup mode: stop
INFO: ionice priority: 7
INFO: CT Name: pihole
INFO: stopping vm
INFO: creating archive '/mnt/pve/nas-alt-nfs/dump/vzdump-lxc-100-2020_05_13-15_20_38.tar.zst'
INFO: tar: /mnt/pve/nas-alt-nfs/dump/vzdump-lxc-100-2020_05_13-15_20_38.tmp: Cannot open: Permission denied
INFO: tar: Error is not recoverable: exiting now
INFO: restarting vm
INFO: guest is online again after 2 seconds
ERROR: Backup of VM 100 failed - command 'set -o pipefail && lxc-usernsexec -m u:0:100000:65536 -m g:0:100000:65536 -- tar cpf - --totals --one-file-system -p --sparse --numeric-owner --acls --xattrs '--xattrs-include=user.*' '--xattrs-include=security.capability' '--warning=no-file-ignored' '--warning=no-xattr-write' --one-file-system '--warning=no-file-ignored' '--directory=/mnt/pve/nas-alt-nfs/dump/vzdump-lxc-100-2020_05_13-15_20_38.tmp' ./etc/vzdump/pct.conf ./etc/vzdump/pct.fw '--directory=/mnt/vzsnap0' --no-anchored '--exclude=lost+found' --anchored '--exclude=./tmp/?*' '--exclude=./var/tmp/?*' '--exclude=./var/run/?*.pid' ./ | zstd --rsyncable '--threads=1' >/mnt/pve/nas-alt-nfs/dump/vzdump-lxc-100-2020_05_13-15_20_38.tar.dat' failed: exit code 2
INFO: Failed at 2020-05-13 15:20:40
INFO: Backup job finished with errors
TASK ERROR: job errors

 

[Stoiko Ivanov]

tar: /mnt/pve/nas-alt-nfs/dump/vzdump-lxc-100-2020_05_13-15_20_38.tmp: Cannot open: Permission denied

Ich würde mal die permissions des dumpdirs (oder auf dem weg dorthin) ins auge fassen:
* das backup wird im userns des unpriviligierten containers gemacht (sprich als user 100000), dieser muss in das verzeichnis /mnt/pve/nas-alt-nfs/dump/ schreiben können.
* mittels` ls -l /mnt/pve/nas-alt-nfs/dump/` , `ls -l /mnt/pve/nas-alt-nfs/` , `ls -l /mnt/pve/` mal ansehen ob überall alle user zumindest rein und lesen dürfen, und im `/mnt/pve/nas-alt-nfs/dump/` auch schreiben dürfen.

 

[tobi471]

Hallo Stoiko,

vielen Dank für der Tip. Ich habe jetzt mal eine neue nfs Freigabe auf meinem Sicherungsserveer erstellt und die Berechtigungen vergeben.
Jetzt bricht das Backup nicht mehr ab.

May 12 20:27:32 server audit[12179]: AVC apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="/usr/bin/lxc-start" name="/proc/sys/kernel/random/boot_id" pid=12179 comm="lxc-start" srcname="/dev/.lxc-boot-id" flags="rw, bind"
May 12 20:27:32 server kernel: audit: type=1400 audit(1589308052.825:37): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="/usr/bin/lxc-start" name="/proc/sys/kernel/random/boot_id" pid=12179 comm="lxc-start" srcname="/dev/.lxc-boot-id" flags="rw, bind"
May 12 20:27:32 server audit[12328]: AVC apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/run/rpc_pipefs/" pid=12328 comm="mount" fstype="rpc_pipefs" srcname="sunrpc"
May 12 20:27:32 server audit[12329]: AVC apparmor="DENIED" operation="mount" info="failed type match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/proc/fs/nfsd/" pid=12329 comm="mount" fstype="nfsd" srcname="nfsd"
May 12 20:27:32 server audit[12329]: AVC apparmor="DENIED" operation="mount" info="failed type match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/proc/fs/nfsd/" pid=12329 comm="mount" fstype="nfsd" srcname="nfsd" flags="ro"
May 12 20:27:32 server kernel: audit: type=1400 audit(1589308052.873:38): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/run/rpc_pipefs/" pid=12328 comm="mount" fstype="rpc_pipefs" srcname="sunrpc"
May 12 20:27:32 server kernel: audit: type=1400 audit(1589308052.873:39): apparmor="DENIED" operation="mount" info="failed type match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/proc/fs/nfsd/" pid=12329 comm="mount" fstype="nfsd" srcname="nfsd"
May 12 20:27:32 server kernel: audit: type=1400 audit(1589308052.873:40): apparmor="DENIED" operation="mount" info="failed type match" error=-13 profile="lxc-111_</var/lib/lxc>" name="/proc/fs/nfsd/" pid=12329 comm="mount" fstype="nfsd" srcname="nfsd" flags="ro"

Der Fehler im syslog ist weiterhin vorhanden.
Ich habe mal einen neuen LXC Container aufgesetzt und Turnkey Fileserver 15.1 frisch installiert. Sobald die Installation abgeschlossen ist und ich den LXC Container neu starte kommt sofort die Meldung im syslog.

Es scheint ja alles zu Funktioniern, deshalb werde ich mich hiermit nicht länger beschäftigen.

Allen vielen Dank für Eure Hilfe.

Gruß
Tobi