NFS Priviligiert und Unpriviligiert

[Saylles]

Mojen,
Ich habe bei mir auf den Proxmox einen OMV am laufen. Jetzt wollte ich in einer Applikation ein NFS einbinden und musste lernen das dies nur möglich ist wenn der Container priviligiert ist wegen den fehlenden Unterstüzung für den Namespace. Ist dies nur ein Problem wenn der Fileserver mit auf dem Host ist oder tritt das Problem auch auf wenn der Fileserver auf einer eigenen Maschine läuft ?

 

[Stoiko Ivanov]

NFS mounts in container gehen nur privilegiert - egal wo der NFS server läuft.

Ich hoffe das hilft!

 

[Saylles]

ja das hilft. Allerdings wenn ich das NFS auf dem Host mounte und dieses dann an den Container weiterreiche geht es auch mit einem Unpriviligierten ?

 

[Stoiko Ivanov]

ja das hilft. Allerdings wenn ich das NFS auf dem Host mounte und dieses dann an den Container weiterreiche geht es auch mit einem Unpriviligierten ?

das mit dem bindmount sollte funktionieren - allerdings ist dabei zu bedenken, dass die UIDs in unprivilegierten containern anders sind (um 100000 geshifted)

 

[Saylles]

Versuche grade nach zu vollziehen was das für mich bei der config bedeutet. Heißt das beim Bind muss ich dann den User aus dem Container angeben oder den vom Host für den Container ?

 

[Stoiko Ivanov]

habe das jetzt länger nicht versucht - deswegen aus dem (löchrigen) Gedächtnis:
* die files müssen auf dem NFS-share die UID/GID von 'inside' haben - sprich files die root gehören müssen 100000:10000 haben usw.

siehe auch 'Bind Mount Points' unter https://pve.proxmox.com/pve-docs/chapter-pct.html#pct_mount_points

 

[Dunuin]

Mapping ist UID/GID 0 bis 65535 zu 100000 bis 165535. Wenn UID 0 im LXC etwas auf den Bind-Mount schreibt, dann gehört es UID 100000 auf dem Host. Wenn auf dem Host etwas UID 101000 gehört, dann gehört es im LXC UID 1000.
Will man dieses Remapping für einen User umgehen muss man das Remapping wie hier ändern: https://pve.proxmox.com/wiki/Unprivileged_LXC_containers

Also klappen tut es mit NFS/SMB über Bind-Mounts in den unprivilegierten LXC bringen...ist aber kompliziert und umständlich.

 

[Saylles]

Ok dann muss ich das mal bewerten wie sinnvoll das ist.
Ist diese Methode den soviel Sinnvoller (Sicherer) als gleich mit priviligierten Containern zu arbeiten ?
Die Applikationen sind nur über VPN erreichbar und ich stelle grade den Aufwand/Nutzen gegenüber.

 

[Dunuin]

Bei unprivilegierter LXC mit User-Remapping läuft der Root-User vom LXC immer noch als Unprivilegierter User mit UID 100000 auf dem Host, sofern du nicht das User-Remapping für UID 0 änderst. Beim privilegierten LXC läuft der ganze LXC einfach unter dem Root-User vom Host. Bekomsmt du Root-Rechte im LXC und schaffst es irgendwie aus dem LXC zu kommen, dann hast du auch Root-Rechte vom Host.

Wie wichtig dir da die Isolation ist, gerade wenn der LXC nicht öffentlich im Internet ist, musst du selbst wissen.