Як створити / dev / tun пристрій у непривілейованому контейнері LXC?

Це питання схоже на No tun device у lxc guest для openvpn . LXC еволюціонував і нещодавно були представлені непривілейовані контейнери LXC, які пропонують ще один рівень безпеки від зламу в'язниці.

Мені потрібно створити сервер OpenVPN всередині одного з непривілейованих контейнерів. Я не знаю, як дозволити контейнеру створити приватний пристрій мережевої настройки.

Я додав lxc.cgroup.devices.allow = c 10:200 rwmдо ~/.local/share/lxc/mylxc/config.

Після запуску контейнера mknod /dev/net/tun c 10 200повертається mknod: '/dev/net/tun': Operation not permittedвсередину контейнера.

Я використовую ванільний Ubuntu 14.04 64bit як хост і контейнер, створений з

lxc-create -t download -n mylxc  -- -d ubuntu -r trusty -a amd64

Хтось встиг /dev/tunзапустити пристрій, що працює під непривілейованим LXC?

Вам потрібно явно додати можливість контейнера CAP_MKNOD до вашого контейнера .

  lxc.cap.keep
          Specify the capability to be kept in the container. All other
          capabilities will be dropped. When a special value of "none"
          is encountered, lxc will clear any keep capabilities specified
          up to this point. A value of "none" alone can be used to drop
          all capabilities.

Ви також можете спробувати автоматизувати це (якщо вам трапляється systemdвсередині контейнера), використовуючи:

  lxc.hook.autodev
          A hook to be run in the container's namespace after mounting
          has been done and after any mount hooks have run, but before
          the pivot_root, if lxc.autodev == 1.  The purpose of this hook
          is to assist in populating the /dev directory of the container
          when using the autodev option for systemd based containers.
          The container's /dev directory is relative to the
          ${LXC_ROOTFS_MOUNT} environment variable available when the
          hook is run.

що може вказувати на запущений сценарій mknod.

Використовувати dockerце дуже легко. За замовчуванням, контейнери непривілейованих .

У цьому прикладі я витягую trustyконтейнер з реєстру:

sudo -r sysadm_r docker pull corbinu/docker-trusty
Pulling repository corbinu/docker-trusty
...
Status: Downloaded newer image for corbinu/docker-trusty:latest

І я починаю його в інтерактивному режимі, інформуючи про необхідні мені можливості всередині:

sudo -r sysadm_r docker run --cap-drop ALL --cap-add MKNOD \
  -i -t corbinu/docker-trusty bash
root@46bbb43095ec:/# ls /dev/
console  fd/      full     fuse     kcore    mqueue/  null     ptmx     pts/     random   shm/     stderr   stdin    stdout   tty      urandom  zero
root@46bbb43095ec:/# mkdir /dev/net
root@46bbb43095ec:/# mknod /dev/net/tun c 10 200
root@46bbb43095ec:/# ls -lrt /dev/net/tun
crw-r--r--. 1 root root 10, 200 Apr  6 16:52 /dev/net/tun

На відміну від:

sudo -r sysadm_r docker run --cap-drop ALL \
  -i -t corbinu/docker-trusty bash
root@9a4cdc75a5ec:/# mkdir /dev/net
root@9a4cdc75a5ec:/# mknod /dev/net/tun c 10 200
mknod: ‘/dev/net/tun’: Operation not permitted