Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:autres:vm:lxc:mode-utilisateur [09/12/2015 20:36] captnfab [Sources] |
doc:autres:vm:lxc:mode-utilisateur [22/12/2015 23:30] captnfab [Préparation] |
||
---|---|---|---|
Ligne 15: | Ligne 15: | ||
===== Introduction ===== | ===== Introduction ===== | ||
- | Si vos conteneurs LXC doivent contenir des serveurs sensibles aux attaques, vous ne voudriez pas qu'un serveur compromis compromette tout le reste du système. Ne pas donner les privilèges super-utilisateur au conteneur permet d'éviter cela. | + | Si vos conteneurs LXC doivent contenir des serveurs sensibles aux attaques, vous ne voudriez pas qu'un serveur compromis compromette tout le reste du système. Ne pas donner les privilèges super-utilisateur au conteneur permet de limiter ce risque. |
===== Installation ===== | ===== Installation ===== | ||
Ligne 38: | Ligne 38: | ||
<code root>adduser --disabled-password lxcuser-test</code> | <code root>adduser --disabled-password lxcuser-test</code> | ||
- | <note info>L'option ''--disabled-password'' n'est pas obligatoire, elle permet simplement de s'assurer que la connexion par mot de passe est impossible via ssh.</note> | + | <note info>L'option ''%%-%%-disabled-password'' n'est pas obligatoire, elle permet simplement de s'assurer que la connexion par mot de passe est impossible via ssh.</note> |
<note important>Comme vous devrez vous connecter à cet utilisateur via ssh, je vous conseille de créer dès maintenant une paire de clefs via ssh-keygen, et de rajouter la clef publique aux clefs autorisées pour cet utilisateur.</note> | <note important>Comme vous devrez vous connecter à cet utilisateur via ssh, je vous conseille de créer dès maintenant une paire de clefs via ssh-keygen, et de rajouter la clef publique aux clefs autorisées pour cet utilisateur.</note> | ||
Ligne 62: | Ligne 62: | ||
=== Affectation des sous-{u,g}id à l'utilisateur === | === Affectation des sous-{u,g}id à l'utilisateur === | ||
Nous allouons alors les sous-uid et sous-gid à l'utilisateur test via la commande (**à modifier en fonction de vos propres ''/etc/sub{u,g}id'' !**) : | Nous allouons alors les sous-uid et sous-gid à l'utilisateur test via la commande (**à modifier en fonction de vos propres ''/etc/sub{u,g}id'' !**) : | ||
- | <code root>usermod lxcuser-test --add-sub-uids 624288:689823 --add-sub-gids 624288:689823</code> | + | <code root>usermod lxcuser-test --add-subuids 624288-689823 --add-subgids 624288-689823</code> |
==== Création et configuration de l'accès au pont réseau ==== | ==== Création et configuration de l'accès au pont réseau ==== | ||
Ligne 93: | Ligne 93: | ||
echo 1 > /proc/sys/kernel/unprivileged_userns_clone | echo 1 > /proc/sys/kernel/unprivileged_userns_clone | ||
- | for u in $LXCUSERS do | + | for u in $LXCUSERS |
+ | do | ||
cgm create all $u | cgm create all $u | ||
cgm chown all $u $(id -u $u) $(id -g $u) | cgm chown all $u $(id -u $u) $(id -g $u) | ||
Ligne 149: | Ligne 150: | ||
===== Utilisation du conteneur ===== | ===== Utilisation du conteneur ===== | ||
- | <code user>cgm modepid all $USER $$ | + | <code user>cgm movepid all $USER $$ |
lxc-start -n test -d</code> | lxc-start -n test -d</code> | ||
Ligne 184: | Ligne 185: | ||
* ''lxc_start - failed to create the configured network'' | * ''lxc_start - failed to create the configured network'' | ||
Vérifier que le mode de connexion renseigné dans ''/etc/lxc/lxc-usernet'' existe bien. | Vérifier que le mode de connexion renseigné dans ''/etc/lxc/lxc-usernet'' existe bien. | ||
+ | |||
+ | * Vérifier que tous les dossiers parents du dossier ''rootfs'' sont bien exécutables par Others (ou au moins par le min de la plage de sous-uid correspondante). | ||
===== Sources ===== | ===== Sources ===== |