Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:autres:vm:lxc:mode-utilisateur [09/12/2015 20:25] captnfab [Installation] |
doc:autres:vm:lxc:mode-utilisateur [22/12/2015 23:30] captnfab [Préparation] |
||
|---|---|---|---|
| Ligne 7: | Ligne 7: | ||
| * Création par [[user>captnfab]] 09/12/2015 | * Création par [[user>captnfab]] 09/12/2015 | ||
| * Testé par captnfab le 09/12/2015 | * Testé par captnfab le 09/12/2015 | ||
| - | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?pid=151771#p151771 | ici]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) FIXME | + | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?pid=151771#p151771 | ici]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) |
| **Nota :** | **Nota :** | ||
| Ligne 15: | Ligne 15: | ||
| ===== Introduction ===== | ===== Introduction ===== | ||
| - | Si vos conteneurs LXC doivent contenir des serveurs sensibles aux attaques, vous ne voudriez pas qu'un serveur compromis compromette tout le reste du système. Ne pas donner les privilèges super-utilisateur au conteneur permet d'éviter cela. | + | Si vos conteneurs LXC doivent contenir des serveurs sensibles aux attaques, vous ne voudriez pas qu'un serveur compromis compromette tout le reste du système. Ne pas donner les privilèges super-utilisateur au conteneur permet de limiter ce risque. |
| ===== Installation ===== | ===== Installation ===== | ||
| Ligne 38: | Ligne 38: | ||
| <code root>adduser --disabled-password lxcuser-test</code> | <code root>adduser --disabled-password lxcuser-test</code> | ||
| - | <note info>L'option ''--disabled-password'' n'est pas obligatoire, elle permet simplement de s'assurer que la connexion par mot de passe est impossible via ssh.</note> | + | <note info>L'option ''%%-%%-disabled-password'' n'est pas obligatoire, elle permet simplement de s'assurer que la connexion par mot de passe est impossible via ssh.</note> |
| + | <note important>Comme vous devrez vous connecter à cet utilisateur via ssh, je vous conseille de créer dès maintenant une paire de clefs via ssh-keygen, et de rajouter la clef publique aux clefs autorisées pour cet utilisateur.</note> | ||
| === Identification d'une plage d'uid/gid libre === | === Identification d'une plage d'uid/gid libre === | ||
| Ligne 61: | Ligne 62: | ||
| === Affectation des sous-{u,g}id à l'utilisateur === | === Affectation des sous-{u,g}id à l'utilisateur === | ||
| Nous allouons alors les sous-uid et sous-gid à l'utilisateur test via la commande (**à modifier en fonction de vos propres ''/etc/sub{u,g}id'' !**) : | Nous allouons alors les sous-uid et sous-gid à l'utilisateur test via la commande (**à modifier en fonction de vos propres ''/etc/sub{u,g}id'' !**) : | ||
| - | <code root>usermod lxcuser-test --add-sub-uids 624288:689823 --add-sub-gids 624288:689823</code> | + | <code root>usermod lxcuser-test --add-subuids 624288-689823 --add-subgids 624288-689823</code> |
| ==== Création et configuration de l'accès au pont réseau ==== | ==== Création et configuration de l'accès au pont réseau ==== | ||
| Ligne 92: | Ligne 93: | ||
| echo 1 > /proc/sys/kernel/unprivileged_userns_clone | echo 1 > /proc/sys/kernel/unprivileged_userns_clone | ||
| - | for u in $LXCUSERS do | + | for u in $LXCUSERS |
| + | do | ||
| cgm create all $u | cgm create all $u | ||
| cgm chown all $u $(id -u $u) $(id -g $u) | cgm chown all $u $(id -u $u) $(id -g $u) | ||
| Ligne 148: | Ligne 150: | ||
| ===== Utilisation du conteneur ===== | ===== Utilisation du conteneur ===== | ||
| - | <code user>cgm modepid all $USER $$ | + | <code user>cgm movepid all $USER $$ |
| lxc-start -n test -d</code> | lxc-start -n test -d</code> | ||
| Ligne 167: | Ligne 169: | ||
| <code>8:perf_event:/ | <code>8:perf_event:/ | ||
| 7:blkio:/ | 7:blkio:/ | ||
| - | 6:net_cls,net_prio:/ | + | … |
| - | 5:freezer:/ | + | |
| - | 4:devices:/ | + | |
| - | 3:cpu,cpuacct:/ | + | |
| - | 2:cpuset:/ | + | |
| 1:name=systemd:/user.slice/user-1001.slice/session-42.scope</code> | 1:name=systemd:/user.slice/user-1001.slice/session-42.scope</code> | ||
| - | Ce problème survient quand libpam-systemd (qui ajoute automatiquement les nouvelles connexions aux bons cgroups) n'est pas installé, où quand les cgroups users ne sont pas créés dans les différents contrôleurs, ce qui est peut-être le comportement par défaut sous Debian ? | + | Vous devriez plutôt obtenir quelque chose comme |
| + | <code>8:perf_event:/lxcuser1/ | ||
| + | 7:blkio:/lxcuser1/ | ||
| + | … | ||
| + | 1:name=systemd:/user.slice/user-1001.slice/session-42.scope</code> | ||
| + | |||
| + | Ce problème survient quand libpam-systemd (qui ajoute automatiquement les nouvelles connexions aux bons cgroups) n'est pas installé, où quand les cgroups users ne sont pas créés dans les différents contrôleurs, ce qui est le comportement par défaut sous Debian, mais pas sous Ubuntu. Reportez-vous à la partie du tuto sur les cgroups si vous avez des soucis. | ||
| * ''lxc_container: cgmanager.c: lxc_cgmanager_enter: 698 call to cgmanager_move_pid_sync failed: invalid request'' | * ''lxc_container: cgmanager.c: lxc_cgmanager_enter: 698 call to cgmanager_move_pid_sync failed: invalid request'' | ||
| Ligne 180: | Ligne 184: | ||
| * ''lxc_start - failed to create the configured network'' | * ''lxc_start - failed to create the configured network'' | ||
| - | Vérifier que le bridge renseigné dans ''/etc/lxc/usernet'' existe bien. | + | Vérifier que le mode de connexion renseigné dans ''/etc/lxc/lxc-usernet'' existe bien. |
| + | |||
| + | * Vérifier que tous les dossiers parents du dossier ''rootfs'' sont bien exécutables par Others (ou au moins par le min de la plage de sous-uid correspondante). | ||
| + | |||
| + | ===== Sources ===== | ||
| + | |||
| + | * https://www.mail-archive.com/lxc-devel@lists.linuxcontainers.org/msg01660.html | ||
| + | * https://www.stgraber.org/2014/01/17/lxc-1-0-unprivileged-containers/ | ||
| + | * http://unix.stackexchange.com/questions/170998/how-to-create-user-cgroups-with-systemd | ||
| + | * http://www.linuxquestions.org/questions/linux-kernel-70/lxc-unprivileged-container-in-debian-jessie-cgroups-permissions-4175540174/ | ||
| + | * http://www.equiscentrico.com.ar/2015/05/unprivileged-lxc-en-debian-jessie.html | ||
