[SOLVED] Verständnisfrage: Anpassung Owner /dev/net/tun für VPN

P

prxmx_usr

Member
Feb 8, 2022
6
1
8
35
Hallo zusammen,
ich habe folgende Anleitung zum Erstellen eines LXC-Containers für OpenVPN gefunden: https://pve.proxmox.com/wiki/OpenVPN_in_LXC
An einem Punkt soll der Owner für /dev/net/tun angepasst werden, um den Zugriff des LXC zu ermöglichen:
Code: 
chown 100000:100000 /dev/net/tun

Haben hierdurch alle Container potentiell den Zugriff hierauf oder hat lediglich der eine Container Zugriff, durch diese Anpassung der Container-Konfiguration:
Code: 
lxc.cgroup2.devices.allow: c 10:200 rwm
 lxc.mount.entry: /dev/net dev/net none bind,create=dir


Danke Euch :)
 
Last edited:
prxmx_usr said:
Haben hierdurch alle Container potentiell den Zugriff hierauf oder hat lediglich der eine Container Zugriff, durch diese Anpassung der Container-Konfiguration:
Code: 
lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net dev/net none bind,create=dir
Click to expand...
Nur der Container der diese Zeilen in seiner Config hat, bekommt Zugriff auf die Datei. Da /dev/net/tun jetzt aber id 100000 als Owner hat, kann theoretisch ein anderer unprivilegierter Container, wenn es eine Sicherheitslücke gibt die es ermöglicht aus einem Container auszubrechen, auch auf /dev/net/tun zugreifen.

Wie ich sehe versuchst Du hier ein Gerät an den Container durchzureichen. Seit PVE 8.1 lassen sich Geräte wesentlich einfacher an Container durchreichen:
Code: 
pct set <container id> -dev0 /dev/net/tun
 
Last edited:
Vielen Dank für die schnelle Rückmeldung:-)
Heißt, ich brauche dann lediglich den Zweiteiler aus der Container Config + folgenden Befehl?

pct set <container id> -dev0 /dev/net/tun

Letzteres gebe ich dann in die pve shell ein, oder?
 
Die zwei Zeilen aus der Config können entfernt werden und die Anpassung des Owners von /dev/net/tun ist auch nicht notwendig.
Das einzige was zu tun ist, ist den Befehl pct set <container id> -dev0 /dev/net/tun in die PVE shell einzugeben.
 
  • Like
Reactions: prxmx_usr
fschauer said:
Die zwei Zeilen aus der Config können entfernt werden und die Anpassung des Owners von /dev/net/tun ist auch nicht notwendig.
Das einzige was zu tun ist, ist den Befehl pct set <container id> -dev0 /dev/net/tun in die PVE shell einzugeben.
Click to expand...
Super, vielen Dank für die Erklärung
 
You must log in or register to reply here.
Top Bottom