Virtualisierter PBS Server kann alle Disks am Host sehen

S

s.kiriakidis

New Member
Proxmox Subscriber
Feb 21, 2024
7
0
1
Hallo zusammen,

ich habe letztens den Proxmox Backup Server als unprivileged LXC Container installiert und eine Sicht auf die Storage/Disks Ansicht in der Web GUI hat mich zum nachdenken angestoßen. Wie kann es sein dass der LXC Container alle Platten sehen kann?
1715936301117.png

Anbei die Optionen des LXC Containers:
1715936359058.png

Vielen Dank vorab.
Stelios
 
Das liegt in der Natur der Containertechnologie. Es wird der Kernel des Hosts genommen und dieser wiederum hat Zugriff auf die Hardware. AppAmmor und cgroups2 kümmern sich dann um die Einschränkungen.
 
Danke für die schnelle Rückmeldung! Würde bedeuten, ich kann ganz einfach die Disk vom Hypervisor in den LXC Container mounten? Schreitet dann appammor und cgroups2 ein und verhindern das?
 
prozesse im container sehen einiges der host hardware (auch NICs, CPU, memory, nicht nur Storage), aber koennen abgesehen von den definierten ausnahmen im rahmen der container config nix damit anfangen.
 
  • Like
Reactions: CoolTux
fabian said:
prozesse im container sehen einiges der host hardware (auch NICs, CPU, memory, nicht nur Storage), aber koennen abgesehen von den definierten ausnahmen im rahmen der container config nix damit anfangen.
Click to expand...
Verstanden! Vielen Dank! Ich bestätige es nochmal mit eigenen Worten: er kann die Config files auslesen, in denen zu sehen ist welche Disk angeschlossen sind, kann aber nicht drauf zugreifen.
 
s.kiriakidis said:
Verstanden! Vielen Dank! Ich bestätige es nochmal mit eigenen Worten: er kann die Config files auslesen, in denen zu sehen ist welche Disk angeschlossen sind, kann aber nicht drauf zugreifen.
Click to expand...

Nein! Er kann die Hardware sehen, nicht die Konfigfiles. Alles was der Host-Kernel sehen kann kann auch der Container sehen.
 
die kombination aus namespaces, apparmor, seccomp und cgroups die sich landlaeufig "container" nennt ;)
 
  • Like
Reactions: CoolTux
You must log in or register to reply here.
Top Bottom