Re: Linux Container versus Linux V-Server (war: Re: Fliegen in Wheezy immer mehr […] Pakete aus der Distri?)
Hallo,
Marc Haber <mh+debian-user-german@zugschlus.de>:
>Darf man in Linux-Vserver einen udevd starten? Bzw, wie weh tut es,
>ein System, das zuvor "auf Blech" lief, plötzlch in einem
>Linux-Vserver zu schieben?
Wenn es ein Debian ist, ist das relativ schmerzfrei. udev wird zwar
nicht sinnvoll laufen, schadet aber auch nicht. Einige Startskripte
erzeugen Fehlermeldungen (z.B. hwclock oder checkroot), aber dass
dadurch etwas kaputt ginge, habe ich noch nicht erlebt. In der rsyslog
Konfiguration muss man die Zeile mit dem klog auskommentieren.
Ich habe das auch mal mit einer älteren SUSE gemacht, könnte SLES 9
gewesen sein. Da gab es zwei Probleme. Zum einen gab es in der
/etc/init.d/rc eine Arithmetik, die den zu startenden Runlevel
berechnet; die hat unter Linux-VServer nicht funktioniert. Zum
anderen setzt SUSE beim Booten irgendwelche stty Befehle ab, die die
Textkonsole zerschießen, wenn man den Container beim Booten
automatisch startet. Beides ließ sich aber durch Weglassen beheben.
>Unter LXC hat man sich, als ich mir das zuletzt angeschaut habe (muss
>Anfang 2011 gewesen sein) damit den Host rebootreif geschlagen.
Für den Anfang kann man damit den Container einigermaßen abdichten:
lxc.cap.drop = sys_admin sys_module mac_admin mac_override audit_control audit_write dac_override dac_read_search net_admin sys_boot sys_rawio sys_time sys_tty_config
/proc und /sys sollten readonly gemounted werden; oft kann man auf /sys
auch ganz verzichten. Devices sollte man per Default verbieten
(lxc.cgroup.devices.deny = a) und dann selektiv erlauben (null, zero,
random, urandom, console, tty, tty0, tty1 und rtc reichen für's
erste). Die eine oder andere Software wird damit nicht laufen, aber
meistens sieht man im Log, warum.
Gruß, Harald
Reply to: