[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: непривелигерованный контейнер lxc в бустер

Sergey Spiridonov <sena@s73.work> писал(а) в своём письме Wed, 10 Feb 2021 12:40:35 +0300:


On Wed, 10 Feb 2021 00:06:25 +0300
Eugene Berdnikov <bd4@protva.ru> wrote:


On Tue, Feb 09, 2021 at 07:11:19PM +0100, Sergey Spiridonov wrote:
> $ lxc-create -n cname -t debian -- -r buster
> lxc-create: cname: conf.c: chown_mapped_root: 3250 lxc-usernsexec
> failed: Permission denied - Failed to open tt lxc-create: cname:
> tools/lxc_create.c: main: 327 Failed to create container cname

 А у юзера, выполняющего lxc-create, есть возможность писать
в /var/lib/lxc?


Я вообще-то ожидал, что он будет создаваться
в /home/lxcuser/.local/share

И даже сделал как написано в инструкции

sudo setfacl -m
u:296608:x /home/lxcuser /home/lxcuser/.local /home/lxcuser/.local/share

Но сейчас сделал на всякий случай

chown lxcuser /var/lib/lxc

Не помогло.

Ну и судя по всему, до создания оно даже не доходит, должен же сначала
lxc-usernsexec заработать...


А проверьте наличие доступных цгрупп пользователю, примерно так:
$ cat /proc/self/cgroup
10:blkio:/user/hamer/3
9:memory:/user/hamer/3
8:cpuset:/user/hamer/3
7:freezer:/user/hamer/3
6:pids:/user/hamer/3
5:devices:/user/hamer/3
4:cpu,cpuacct:/user/hamer/3
3:perf_event:/user/hamer/3
2:net_cls,net_prio:/user/hamer/3
1:name=systemd:/user.slice/user-1000.slice/session-5888.scope

Также проверьте наличие пакетов lxcfs и libpam-cgfs и что для PAM подключен модуль для cgfs:
$ grep cg /etc/pam.d/common-*
/etc/pam.d/common-session:session       optional        pam_cgfs.so
/etc/pam.d/common-session-noninteractive:session        optional        pam_cgfs.so


--
Написано с помощью почтового клиента Opera: http://www.opera.com/mail/
Reply to: