Ayrıcalıksız LXC kapsayıcısında / dev / tun cihazı nasıl oluşturulur?

Bu soru openvpn için lxc misafirinde ayar cihazı yok . LXC gelişti ve son zamanlarda hapishanenin kırılmasına karşı başka bir güvenlik katmanı sunan ayrıcalıksız LXC kapları piyasaya sürüldü.

Ayrıcalıksız kapsayıcılardan birinin içinde bir OpenVPN sunucusu oluşturmam gerekiyor. Konteynerin özel bir tun ağ cihazı oluşturmasına nasıl izin vereceğimi bilmiyorum.

Ben ekleme yaptım lxc.cgroup.devices.allow = c 10:200 rwmetmek ~/.local/share/lxc/mylxc/config.

Kabı başlattıktan sonra kabın içine mknod /dev/net/tun c 10 200geri döner mknod: '/dev/net/tun': Operation not permitted.

Ana bilgisayar olarak bir vanilya Ubuntu 14.04 64bit ve ile oluşturulan bir kap kullanıyorum

lxc-create -t download -n mylxc  -- -d ubuntu -r trusty -a amd64

Herkes /dev/tunayrıcalıksız LXC altında cihaz çalıştırmak başardı mı?

Açıkça CAP_MKNOD eklemem gerekiyor yeteneği sizin için konteyner .

  lxc.cap.keep
          Specify the capability to be kept in the container. All other
          capabilities will be dropped. When a special value of "none"
          is encountered, lxc will clear any keep capabilities specified
          up to this point. A value of "none" alone can be used to drop
          all capabilities.

Ayrıca aşağıdakileri kullanarak bunu otomatikleştirmeyi de deneyebilirsiniz ( systemdkabın içinde kullanırsanız):

  lxc.hook.autodev
          A hook to be run in the container's namespace after mounting
          has been done and after any mount hooks have run, but before
          the pivot_root, if lxc.autodev == 1.  The purpose of this hook
          is to assist in populating the /dev directory of the container
          when using the autodev option for systemd based containers.
          The container's /dev directory is relative to the
          ${LXC_ROOTFS_MOUNT} environment variable available when the
          hook is run.

çalışan bir komut dosyasına işaret edebilir mknod.

dockerBunu kullanmak çok kolaydır. Varsayılan olarak, kapsayıcılar ayrıcalıksızdır .

Bu örnekte, bir trustykapsayıcı kayıt defterinden çekiyorum :

sudo -r sysadm_r docker pull corbinu/docker-trusty
Pulling repository corbinu/docker-trusty
...
Status: Downloaded newer image for corbinu/docker-trusty:latest

Ve içinde ihtiyaç duyduğum yetenek hakkında bilgi veren etkileşimli modda başlıyorum:

sudo -r sysadm_r docker run --cap-drop ALL --cap-add MKNOD \
  -i -t corbinu/docker-trusty bash
root@46bbb43095ec:/# ls /dev/
console  fd/      full     fuse     kcore    mqueue/  null     ptmx     pts/     random   shm/     stderr   stdin    stdout   tty      urandom  zero
root@46bbb43095ec:/# mkdir /dev/net
root@46bbb43095ec:/# mknod /dev/net/tun c 10 200
root@46bbb43095ec:/# ls -lrt /dev/net/tun
crw-r--r--. 1 root root 10, 200 Apr  6 16:52 /dev/net/tun

Aksine:

sudo -r sysadm_r docker run --cap-drop ALL \
  -i -t corbinu/docker-trusty bash
root@9a4cdc75a5ec:/# mkdir /dev/net
root@9a4cdc75a5ec:/# mknod /dev/net/tun c 10 200
mknod: ‘/dev/net/tun’: Operation not permitted