Comment créer un périphérique / dev / tun dans un conteneur LXC non privilégié?

Cette question est similaire à No tun device in lxc guest for openvpn . Le LXC a évolué et les conteneurs non privilégiés LXC ont été introduits récemment qui offrent une autre couche de sécurité contre la rupture de la prison.

J'ai besoin de créer un serveur OpenVPN dans l'un des conteneurs non privilégiés. Je ne sais pas comment laisser le conteneur créer un périphérique réseau tun privé.

Je l'ai annexé lxc.cgroup.devices.allow = c 10:200 rwmau ~/.local/share/lxc/mylxc/config.

Après avoir démarré le conteneur, mknod /dev/net/tun c 10 200revient mknod: '/dev/net/tun': Operation not permittedà l'intérieur du conteneur.

J'utilise un vanunt Ubuntu 14.04 64bit comme hôte et un conteneur créé avec

lxc-create -t download -n mylxc  -- -d ubuntu -r trusty -a amd64

Quelqu'un a-t-il réussi à faire /dev/tunfonctionner l'appareil sous LXC non privilégié?

Vous devez ajouter explicitement la capacité CAP_MKNOD à votre conteneur .

  lxc.cap.keep
          Specify the capability to be kept in the container. All other
          capabilities will be dropped. When a special value of "none"
          is encountered, lxc will clear any keep capabilities specified
          up to this point. A value of "none" alone can be used to drop
          all capabilities.

Vous pouvez également essayer d'automatiser cela (s'il vous arrive d'utiliser systemdà l'intérieur du conteneur) en utilisant:

  lxc.hook.autodev
          A hook to be run in the container's namespace after mounting
          has been done and after any mount hooks have run, but before
          the pivot_root, if lxc.autodev == 1.  The purpose of this hook
          is to assist in populating the /dev directory of the container
          when using the autodev option for systemd based containers.
          The container's /dev directory is relative to the
          ${LXC_ROOTFS_MOUNT} environment variable available when the
          hook is run.

qui peut pointer vers un script en cours d'exécution mknod.

Son utilisation dockerest très simple à réaliser. Par défaut, les conteneurs ne sont pas privilégiés .

Dans cet exemple, je tire un trustyconteneur du registre:

sudo -r sysadm_r docker pull corbinu/docker-trusty
Pulling repository corbinu/docker-trusty
...
Status: Downloaded newer image for corbinu/docker-trusty:latest

Et je le démarre en mode interactif, informant de la capacité dont j'ai besoin à l'intérieur:

sudo -r sysadm_r docker run --cap-drop ALL --cap-add MKNOD \
  -i -t corbinu/docker-trusty bash
root@46bbb43095ec:/# ls /dev/
console  fd/      full     fuse     kcore    mqueue/  null     ptmx     pts/     random   shm/     stderr   stdin    stdout   tty      urandom  zero
root@46bbb43095ec:/# mkdir /dev/net
root@46bbb43095ec:/# mknod /dev/net/tun c 10 200
root@46bbb43095ec:/# ls -lrt /dev/net/tun
crw-r--r--. 1 root root 10, 200 Apr  6 16:52 /dev/net/tun

Par opposition à:

sudo -r sysadm_r docker run --cap-drop ALL \
  -i -t corbinu/docker-trusty bash
root@9a4cdc75a5ec:/# mkdir /dev/net
root@9a4cdc75a5ec:/# mknod /dev/net/tun c 10 200
mknod: ‘/dev/net/tun’: Operation not permitted