Hallo zusammen,
ich habe mich ein wenig mit LXC auseinandergesetzt und am laufen.
Jedoch wenn ich den Container (Inhalt Squeeze) herunterfahren lasse ist das Filesystem im Anschluss statt Read-Write nur noch Read-Only.

Ich habe unter /usr/local/var eine eigene Partition fuer LXC eingebunden daher haelt sich der Schaden in Grenzen. Die Container liegen unter /usr/local/var/lib/lxc

Mein System
Debian Squeeze, Backports, Kernel 3.2, lxc 0.7.5 (selbstkompiliert)


Weiss jemand Rat


Gruss Stefan

Nach einem umount /usr/local/var ohne Fehlermeldung ist die Partition nicht mehr mit mount zu finden.
mount /usr/local/var jedoch meldet



mount: /dev/sda4 already mounted or /usr/local/var busy


ich bin verwirrt

Gruss Stefan

kernel 3.2 hat noch keine volle unterstützung für alle namespaces.
das kommt erst jetzt langsam mit 3.5.
ich arbeite dran. :)

dein problem kommt daher, dass du den container mit vollen root-rechten laufen hast.
das ist keine gute idee. droppe alle unnötigen caps.
vor allem CAP_SYS_ADMIN.

hth,
//richard

Hallo Richard,

nach etwas googeln und Leute belaestigen bin ich zu der erkenntniss gekommen: Ich hab keine Ahnung was caps sind! wie ich die droppe...


Gruss Stefan

zb. in der lxc konfiguration:

lxc.cap.drop = sys_module sys_rawio sys_admin sys_boot sys_time mknod setfcap

man capabilities
man lxc.conf

lange rede kurzer sinn, einen bösen root (uid=0) user im container kann man derzeit beinahe vergessen.

//richard