[SOLVED] Verständnisfrage: Anpassung Owner /dev/net/tun für VPN

P

prxmx_usr

Member
Feb 8, 2022
6
1
8
34
Hallo zusammen,
ich habe folgende Anleitung zum Erstellen eines LXC-Containers für OpenVPN gefunden: https://pve.proxmox.com/wiki/OpenVPN_in_LXC
An einem Punkt soll der Owner für /dev/net/tun angepasst werden, um den Zugriff des LXC zu ermöglichen:
Code: 
chown 100000:100000 /dev/net/tun

Haben hierdurch alle Container potentiell den Zugriff hierauf oder hat lediglich der eine Container Zugriff, durch diese Anpassung der Container-Konfiguration:
Code: 
lxc.cgroup2.devices.allow: c 10:200 rwm
 lxc.mount.entry: /dev/net dev/net none bind,create=dir


Danke Euch :)
 
Last edited:
prxmx_usr said:
Haben hierdurch alle Container potentiell den Zugriff hierauf oder hat lediglich der eine Container Zugriff, durch diese Anpassung der Container-Konfiguration:
Code: 
lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net dev/net none bind,create=dir
Click to expand...
Nur der Container der diese Zeilen in seiner Config hat, bekommt Zugriff auf die Datei. Da /dev/net/tun jetzt aber id 100000 als Owner hat, kann theoretisch ein anderer unprivilegierter Container, wenn es eine Sicherheitslücke gibt die es ermöglicht aus einem Container auszubrechen, auch auf /dev/net/tun zugreifen.

Wie ich sehe versuchst Du hier ein Gerät an den Container durchzureichen. Seit PVE 8.1 lassen sich Geräte wesentlich einfacher an Container durchreichen:
Code: 
pct set <container id> -dev0 /dev/net/tun
 
Last edited:
Vielen Dank für die schnelle Rückmeldung:-)
Heißt, ich brauche dann lediglich den Zweiteiler aus der Container Config + folgenden Befehl?

pct set <container id> -dev0 /dev/net/tun

Letzteres gebe ich dann in die pve shell ein, oder?
 
Die zwei Zeilen aus der Config können entfernt werden und die Anpassung des Owners von /dev/net/tun ist auch nicht notwendig.
Das einzige was zu tun ist, ist den Befehl pct set <container id> -dev0 /dev/net/tun in die PVE shell einzugeben.
 
  • Like
Reactions: prxmx_usr
fschauer said:
Die zwei Zeilen aus der Config können entfernt werden und die Anpassung des Owners von /dev/net/tun ist auch nicht notwendig.
Das einzige was zu tun ist, ist den Befehl pct set <container id> -dev0 /dev/net/tun in die PVE shell einzugeben.
Click to expand...
Super, vielen Dank für die Erklärung
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom