Привет всем.

Пытаюсь настроить непривелигерованный контейнер lxc в бустер

Действую вроде бы точно по инструкции

https://wiki.debian.org/LXC#Unprivileged_container


$ cat /etc/s*id|grep lxcuser
lxcuser:296608:65536
lxcuser:296608:65536

$ cat .config/lxc/default.conf
lxc.idmap = u 0 296608 65536
lxc.idmap = g 0 296608 65536

lxc.apparmor.profile = unconfined
lxc.apparmor.allow_nesting = 0
lxc.mount.auto = proc:mixed sys:ro cgroup:mixed

lxc.net.0.type = veth
lxc.net.0.link = lxcbr0
lxc.net.0.flags = up
lxc.net.0.hwaddr = 00:16:3f:xx:xx:xx

# sysctl kernel.unprivileged_userns_clone
kernel.unprivileged_userns_clone = 1

Но...

$ lxc-create -n cname -t debian -- -r buster
lxc-create: cname: conf.c: chown_mapped_root: 3250 lxc-usernsexec failed: Permission denied - Failed to open tt
lxc-create: cname: tools/lxc_create.c: main: 327 Failed to create container cname

$ lxc-usernsexec
Failed to find subuid or subgid allocation

Что не так?
--
С уважением, Сергей Спиридонов

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 10/02/2021 01:11, Sergey Spiridonov wrote:

$ cat /etc/s*id|grep lxcuser
lxcuser:296608:65536
lxcuser:296608:65536

Но...

$ lxc-create -n cname -t debian -- -r buster
lxc-create: cname: conf.c: chown_mapped_root: 3250 lxc-usernsexec failed: Permission denied - Failed to open tt
lxc-create: cname: tools/lxc_create.c: main: 327 Failed to create container cname

Перелогиньтесь... Это на случай, если сессия живет дольше, чем записи в
/etc/subuid, subgid.

$ lxc-usernsexec
Failed to find subuid or subgid allocation

Что стоит на хосте не указано, а старые версии не понимали user name (не
UID) в /etc/subuid. Я бы попробовал явно

lxc-usernsexec -m b:0:296608:65536 -- bash

Еще вроде есть заморочка с версией lxc и тем, какие cgroups (гибридные
или вторые) включены на хосте. Попадалось, что вроде для cgroups v2
libpam-cgfs и lxcfs не работают, но может тогда они и не нужны.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

10.02.2021 01:11, Sergey Spiridonov пишет:

Привет всем.

Пытаюсь настроить непривелигерованный контейнер lxc в бустер

Действую вроде бы точно по инструкции

https://wiki.debian.org/LXC#Unprivileged_container

$ cat /etc/s*id|grep lxcuser
lxcuser:296608:65536
lxcuser:296608:65536

$ cat .config/lxc/default.conf
lxc.idmap = u 0 296608 65536
lxc.idmap = g 0 296608 65536

lxc.apparmor.profile = unconfined
lxc.apparmor.allow_nesting = 0
lxc.mount.auto = proc:mixed sys:ro cgroup:mixed

lxc.net.0.type = veth
lxc.net.0.link = lxcbr0
lxc.net.0.flags = up
lxc.net.0.hwaddr = 00:16:3f:xx:xx:xx

# sysctl kernel.unprivileged_userns_clone
kernel.unprivileged_userns_clone = 1

Но...

$ lxc-create -n cname -t debian -- -r buster
lxc-create: cname: conf.c: chown_mapped_root: 3250 lxc-usernsexec failed: Permission denied - Failed to open tt
lxc-create: cname: tools/lxc_create.c: main: 327 Failed to create container cname

у меня ругается если так вызывать:
$ lxc-create -n cname -t debian -- -r buster
This template can't be used for unprivileged containers.
You may want to try the "download" template instead.
lxc-create: cname: lxccontainer.c: create_run_template: 1617 Failed to
create container from template
lxc-create: cname: tools/lxc_create.c: main: 327 Failed to create
container cname

А так работает:
$ lxc-create -n cname -t download -- -r buster -d debian -a amd64
Using image from local cache
Unpacking the rootfs

---
You just created a Debian buster amd64 (20210210_05:24) container.

To enable SSH, run: apt install openssh-server
No default root or user password are set by LXC.
$

Попробуй вызвать lxc-create c --logfile и --logpriority

$ lxc-usernsexec
Failed to find subuid or subgid allocation

у меня пишет точно тоже

Что не так?

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 11/02/2021 15:08, Andrey Lu wrote:

у меня ругается если так вызывать:
$ lxc-create -n cname -t debian -- -r buster
This template can't be used for unprivileged containers.
You may want to try the "download" template instead.
lxc-create: cname: lxccontainer.c: create_run_template: 1617 Failed to
create container from template
lxc-create: cname: tools/lxc_create.c: main: 327 Failed to create
container cname

Если правильно помню, то не сработает mkdev, такое namespaces не
позволяют. Так что готовить образы должен root. Дальше их уже может
распаковывать обычный пользователь, поэтому --template download успешно
работает.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

0YfRgiwgMTEg0YTQtdCy0YAuIDIwMjEg0LMuINCyIDE1OjE5LCBNYXhpbSBOaWt1bGluIDxtYW5p a3VsaW5AZ21haWwuY29tPjoNCg0KPiBPbiAxMS8wMi8yMDIxIDE1OjA4LCBBbmRyZXkgTHUgd3Jv dGU6DQo+ID4g0YMg0LzQtdC90Y8g0YDRg9Cz0LDQtdGC0YHRjyDQtdGB0LvQuCDRgtCw0Log0LLR i9C30YvQstCw0YLRjDoNCj4gPiAkIGx4Yy1jcmVhdGUgLW4gY25hbWUgLXQgZGViaWFuIC0tIC1y IGJ1c3Rlcg0KPiA+IFRoaXMgdGVtcGxhdGUgY2FuJ3QgYmUgdXNlZCBmb3IgdW5wcml2aWxlZ2Vk IGNvbnRhaW5lcnMuDQo+ID4gWW91IG1heSB3YW50IHRvIHRyeSB0aGUgImRvd25sb2FkIiB0ZW1w bGF0ZSBpbnN0ZWFkLg0KPiA+IGx4Yy1jcmVhdGU6IGNuYW1lOiBseGNjb250YWluZXIuYzogY3Jl YXRlX3J1bl90ZW1wbGF0ZTogMTYxNyBGYWlsZWQgdG8NCj4gPiBjcmVhdGUgY29udGFpbmVyIGZy b20gdGVtcGxhdGUNCj4gPiBseGMtY3JlYXRlOiBjbmFtZTogdG9vbHMvbHhjX2NyZWF0ZS5jOiBt YWluOiAzMjcgRmFpbGVkIHRvIGNyZWF0ZQ0KPiA+IGNvbnRhaW5lciBjbmFtZQ0KPg0KPiDQldGB 0LvQuCDQv9GA0LDQstC40LvRjNC90L4g0L/QvtC80L3Rjiwg0YLQviDQvdC1INGB0YDQsNCx0L7R gtCw0LXRgiBta2Rldiwg0YLQsNC60L7QtSBuYW1lc3BhY2VzINC90LUNCj4g0L/QvtC30LLQvtC7 0Y/RjtGCLiDQotCw0Log0YfRgtC+INCz0L7RgtC+0LLQuNGC0Ywg0L7QsdGA0LDQt9GLINC00L7Q u9C20LXQvSByb290LiDQlNCw0LvRjNGI0LUg0LjRhSDRg9C20LUg0LzQvtC20LXRgg0KPiDRgNCw 0YHQv9Cw0LrQvtCy0YvQstCw0YLRjCDQvtCx0YvRh9C90YvQuSDQv9C+0LvRjNC30L7QstCw0YLQ tdC70YwsINC/0L7RjdGC0L7QvNGDIC0tdGVtcGxhdGUgZG93bmxvYWQg0YPRgdC/0LXRiNC90L4N Cj4g0YDQsNCx0L7RgtCw0LXRgi4NCj4NCg0K0J3QtdGD0LbQtdC70Lgg0LIgRGViaWFuINC00LvR jyDRjdGC0L7Qs9C+INC90LUg0L/RgNC40YHQv9C+0YHQvtCx0LjQu9C4IGZha2Vyb290Pw0KDQoN Ci0tIA0KV2l0aCBiZXN0IHJlZ2FyZHMNCiAgTWFrc2ltIERtaXRyaWNoZW5rbw0K PGRpdiBkaXI9Imx0ciI+PGRpdiBkaXI9Imx0ciI+0YfRgiwgMTEg0YTQtdCy0YAuIDIwMjEg0LMu INCyIDE1OjE5LCBNYXhpbSBOaWt1bGluICZsdDs8YSBocmVmPSJtYWlsdG86bWFuaWt1bGluQGdt YWlsLmNvbSI+bWFuaWt1bGluQGdtYWlsLmNvbTwvYT4mZ3Q7Ojxicj48L2Rpdj48ZGl2IGNsYXNz PSJnbWFpbF9xdW90ZSI+PGJsb2NrcXVvdGUgY2xhc3M9ImdtYWlsX3F1b3RlIiBzdHlsZT0ibWFy Z2luOjBweCAwcHggMHB4IDAuOGV4O2JvcmRlci1sZWZ0OjFweCBzb2xpZCByZ2IoMjA0LDIwNCwy MDQpO3BhZGRpbmctbGVmdDoxZXgiPk9uIDExLzAyLzIwMjEgMTU6MDgsIEFuZHJleSBMdSB3cm90 ZTo8YnI+DQomZ3Q7INGDINC80LXQvdGPINGA0YPQs9Cw0LXRgtGB0Y8g0LXRgdC70Lgg0YLQsNC6 INCy0YvQt9GL0LLQsNGC0Yw6PGJyPg0KJmd0OyAkIGx4Yy1jcmVhdGUgLW4gY25hbWUgLXQgZGVi aWFuIC0tIC1yIGJ1c3Rlcjxicj4NCiZndDsgVGhpcyB0ZW1wbGF0ZSBjYW4mIzM5O3QgYmUgdXNl ZCBmb3IgdW5wcml2aWxlZ2VkIGNvbnRhaW5lcnMuPGJyPg0KJmd0OyBZb3UgbWF5IHdhbnQgdG8g dHJ5IHRoZSAmcXVvdDtkb3dubG9hZCZxdW90OyB0ZW1wbGF0ZSBpbnN0ZWFkLjxicj4NCiZndDsg bHhjLWNyZWF0ZTogY25hbWU6IGx4Y2NvbnRhaW5lci5jOiBjcmVhdGVfcnVuX3RlbXBsYXRlOiAx NjE3IEZhaWxlZCB0byA8YnI+DQomZ3Q7IGNyZWF0ZSBjb250YWluZXIgZnJvbSB0ZW1wbGF0ZTxi cj4NCiZndDsgbHhjLWNyZWF0ZTogY25hbWU6IHRvb2xzL2x4Y19jcmVhdGUuYzogbWFpbjogMzI3 IEZhaWxlZCB0byBjcmVhdGUgPGJyPg0KJmd0OyBjb250YWluZXIgY25hbWU8YnI+DQo8YnI+DQrQ ldGB0LvQuCDQv9GA0LDQstC40LvRjNC90L4g0L/QvtC80L3Rjiwg0YLQviDQvdC1INGB0YDQsNCx 0L7RgtCw0LXRgiBta2Rldiwg0YLQsNC60L7QtSBuYW1lc3BhY2VzINC90LUgPGJyPg0K0L/QvtC3 0LLQvtC70Y/RjtGCLiDQotCw0Log0YfRgtC+INCz0L7RgtC+0LLQuNGC0Ywg0L7QsdGA0LDQt9GL INC00L7Qu9C20LXQvSByb290LiDQlNCw0LvRjNGI0LUg0LjRhSDRg9C20LUg0LzQvtC20LXRgiA8 YnI+DQrRgNCw0YHQv9Cw0LrQvtCy0YvQstCw0YLRjCDQvtCx0YvRh9C90YvQuSDQv9C+0LvRjNC3 0L7QstCw0YLQtdC70YwsINC/0L7RjdGC0L7QvNGDIC0tdGVtcGxhdGUgZG93bmxvYWQg0YPRgdC/ 0LXRiNC90L4gPGJyPg0K0YDQsNCx0L7RgtCw0LXRgi48YnI+PC9ibG9ja3F1b3RlPjxkaXY+PGJy PtCd0LXRg9C20LXQu9C4INCyIERlYmlhbiDQtNC70Y8g0Y3RgtC+0LPQviDQvdC1INC/0YDQuNGB 0L/QvtGB0L7QsdC40LvQuCBmYWtlcm9vdD/CoDwvZGl2PjwvZGl2PjxiciBjbGVhcj0iYWxsIj48 ZGl2Pjxicj48L2Rpdj4tLSA8YnI+PGRpdiBkaXI9Imx0ciIgY2xhc3M9ImdtYWlsX3NpZ25hdHVy ZSI+PGRpdiBkaXI9Imx0ciI+PGRpdj5XaXRoIGJlc3QgcmVnYXJkczxicj7CoCBNYWtzaW0gRG1p dHJpY2hlbmtvPC9kaXY+PC9kaXY+PC9kaXY+PC9kaXY+DQo=

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 11/02/2021 21:04, Maksim Dmitrichenko wrote:

чт, 11 февр. 2021 г. в 15:19, Maxim Nikulin:

On 11/02/2021 15:08, Andrey Lu wrote:
> у меня ругается если так вызывать:
> $ lxc-create -n cname -t debian -- -r buster
> This template can't be used for unprivileged containers.

Если правильно помню, то не сработает mkdev, такое namespaces не
позволяют. Так что готовить образы должен root. Дальше их уже может
распаковывать обычный пользователь, поэтому --template download успешно
работает.

Неужели в Debian для этого не приспособили fakeroot?

Я думаю, никому особенно это не надо. Хотя для меня когда-то тоже стало
неожиданностью, что так нельзя.

Если создается привилегированный контейнер, то с правами root все будет
работать. А fakeroot дает дополнительные накладные расходы - надо
сначала создавать дерево файловой системы во временном месте, и уже
потом распаковывать его в namespace. В этом смысле готовые образы типа
download проще.

Извиняюсь, вместо mknod (ну или MAKEDEV) написал mkdev.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

0YfRgiwgMTEg0YTQtdCy0YAuIDIwMjEg0LMuINCyIDE4OjUxLCBNYXhpbSBOaWt1bGluIDxtYW5p a3VsaW5AZ21haWwuY29tPjoNCg0KPiA+ICAgICDQldGB0LvQuCDQv9GA0LDQstC40LvRjNC90L4g 0L/QvtC80L3Rjiwg0YLQviDQvdC1INGB0YDQsNCx0L7RgtCw0LXRgiBta2Rldiwg0YLQsNC60L7Q tSBuYW1lc3BhY2VzINC90LUNCj4gPiAgICAg0L/QvtC30LLQvtC70Y/RjtGCLiDQotCw0Log0YfR gtC+INCz0L7RgtC+0LLQuNGC0Ywg0L7QsdGA0LDQt9GLINC00L7Qu9C20LXQvSByb290LiDQlNCw 0LvRjNGI0LUg0LjRhSDRg9C20LUg0LzQvtC20LXRgg0KPiA+ICAgICDRgNCw0YHQv9Cw0LrQvtCy 0YvQstCw0YLRjCDQvtCx0YvRh9C90YvQuSDQv9C+0LvRjNC30L7QstCw0YLQtdC70YwsINC/0L7R jdGC0L7QvNGDIC0tdGVtcGxhdGUgZG93bmxvYWQNCj4g0YPRgdC/0LXRiNC90L4NCj4gPiAgICAg 0YDQsNCx0L7RgtCw0LXRgi4NCj4gPg0KPiA+INCd0LXRg9C20LXQu9C4INCyIERlYmlhbiDQtNC7 0Y8g0Y3RgtC+0LPQviDQvdC1INC/0YDQuNGB0L/QvtGB0L7QsdC40LvQuCBmYWtlcm9vdD8NCj4N Cj4g0K8g0LTRg9C80LDRjiwg0L3QuNC60L7QvNGDINC+0YHQvtCx0LXQvdC90L4g0Y3RgtC+INC9 0LUg0L3QsNC00L4uINCl0L7RgtGPINC00LvRjyDQvNC10L3RjyDQutC+0LPQtNCwLdGC0L4g0YLQ vtC20LUg0YHRgtCw0LvQvg0KPiDQvdC10L7QttC40LTQsNC90L3QvtGB0YLRjNGOLCDRh9GC0L4g 0YLQsNC6INC90LXQu9GM0LfRjy4NCj4NCj4g0JXRgdC70Lgg0YHQvtC30LTQsNC10YLRgdGPINC/ 0YDQuNCy0LjQu9C10LPQuNGA0L7QstCw0L3QvdGL0Lkg0LrQvtC90YLQtdC50L3QtdGALCDRgtC+ INGBINC/0YDQsNCy0LDQvNC4IHJvb3Qg0LLRgdC1INCx0YPQtNC10YINCj4g0YDQsNCx0L7RgtCw 0YLRjC4g0JAgZmFrZXJvb3Qg0LTQsNC10YIg0LTQvtC/0L7Qu9C90LjRgtC10LvRjNC90YvQtSDQ vdCw0LrQu9Cw0LTQvdGL0LUg0YDQsNGB0YXQvtC00YsgLSDQvdCw0LTQvg0KPiDRgdC90LDRh9Cw 0LvQsCDRgdC+0LfQtNCw0LLQsNGC0Ywg0LTQtdGA0LXQstC+INGE0LDQudC70L7QstC+0Lkg0YHQ uNGB0YLQtdC80Ysg0LLQviDQstGA0LXQvNC10L3QvdC+0Lwg0LzQtdGB0YLQtSwg0Lgg0YPQttC1 DQo+INC/0L7RgtC+0Lwg0YDQsNGB0L/QsNC60L7QstGL0LLQsNGC0Ywg0LXQs9C+INCyIG5hbWVz cGFjZS4g0JIg0Y3RgtC+0Lwg0YHQvNGL0YHQu9C1INCz0L7RgtC+0LLRi9C1INC+0LHRgNCw0LfR iyDRgtC40L/QsA0KPiBkb3dubG9hZCDQv9GA0L7RidC1Lg0KPg0KDQrQotC+LCDRh9GC0L4gZG93 bmxvYWQg0L/RgNC+0YnQtSwg0L3QtSDQvtCx0YHRg9C20LTQsNC10YLRgdGPLiDQnNC+0Lkg0LrQ vtC80LzQtdC90YLQsNGA0LjQuS3QstC+0L/RgNC+0YEg0L7RgtC90L7RgdC40LvRgdGPDQrQuNC8 0LXQvdC90L4g0Log0LPQvtGC0L7QstC60LUg0L7QsdGA0LDQt9CwLiDQktC10LTRjCDQstGLINC9 0LDQv9C40YHQsNC70Lg6ICLQs9C+0YLQvtCy0LjRgtGMINC+0LHRgNCw0LfRiyDQtNC+0LvQttC1 0L0gcm9vdCIuDQrQktC+0YIg0Y8g0Lgg0L/RgNC10LTQv9C+0LvQvtC20LjQuywg0YfRgtC+INC1 0YHQu9C4INCy0Ysg0LLRgdGRLdGC0LDQutC4INC00L7RiNC70Lgg0LTQviDQs9C+0YLQvtCy0LrQ uCwg0YLQviDQvdC10YIg0L3QuNC60LDQutC+0LkNCtC90YPQttC00Ysg0L3QsCDRgdCw0LzQvtC8 INC00LXQu9C1INCyINGC0L7QvCwg0YfRgtC+0LHRiyDRjdGC0L4g0LHRi9C7IHJvb3QuDQoNCi0t IA0KV2l0aCBiZXN0IHJlZ2FyZHMNCiAgTWFrc2ltIERtaXRyaWNoZW5rbw0K PGRpdiBkaXI9Imx0ciI+PGRpdiBkaXI9Imx0ciI+0YfRgiwgMTEg0YTQtdCy0YAuIDIwMjEg0LMu INCyIDE4OjUxLCBNYXhpbSBOaWt1bGluICZsdDs8YSBocmVmPSJtYWlsdG86bWFuaWt1bGluQGdt YWlsLmNvbSI+bWFuaWt1bGluQGdtYWlsLmNvbTwvYT4mZ3Q7Ojxicj48L2Rpdj48ZGl2IGNsYXNz PSJnbWFpbF9xdW90ZSI+PGJsb2NrcXVvdGUgY2xhc3M9ImdtYWlsX3F1b3RlIiBzdHlsZT0ibWFy Z2luOjBweCAwcHggMHB4IDAuOGV4O2JvcmRlci1sZWZ0OjFweCBzb2xpZCByZ2IoMjA0LDIwNCwy MDQpO3BhZGRpbmctbGVmdDoxZXgiPiZndDvCoCDCoCDCoNCV0YHQu9C4INC/0YDQsNCy0LjQu9GM 0L3QviDQv9C+0LzQvdGOLCDRgtC+INC90LUg0YHRgNCw0LHQvtGC0LDQtdGCIG1rZGV2LCDRgtCw 0LrQvtC1IG5hbWVzcGFjZXMg0L3QtTxicj4NCiZndDvCoCDCoCDCoNC/0L7Qt9Cy0L7Qu9GP0Y7R gi4g0KLQsNC6INGH0YLQviDQs9C+0YLQvtCy0LjRgtGMINC+0LHRgNCw0LfRiyDQtNC+0LvQttC1 0L0gcm9vdC4g0JTQsNC70YzRiNC1INC40YUg0YPQttC1INC80L7QttC10YI8YnI+DQomZ3Q7wqAg wqAgwqDRgNCw0YHQv9Cw0LrQvtCy0YvQstCw0YLRjCDQvtCx0YvRh9C90YvQuSDQv9C+0LvRjNC3 0L7QstCw0YLQtdC70YwsINC/0L7RjdGC0L7QvNGDIC0tdGVtcGxhdGUgZG93bmxvYWQg0YPRgdC/ 0LXRiNC90L48YnI+DQomZ3Q7wqAgwqAgwqDRgNCw0LHQvtGC0LDQtdGCLjxicj4NCiZndDsgPGJy Pg0KJmd0OyDQndC10YPQttC10LvQuCDQsiBEZWJpYW4g0LTQu9GPINGN0YLQvtCz0L4g0L3QtSDQ v9GA0LjRgdC/0L7RgdC+0LHQuNC70LggZmFrZXJvb3Q/PGJyPg0KPGJyPg0K0K8g0LTRg9C80LDR jiwg0L3QuNC60L7QvNGDINC+0YHQvtCx0LXQvdC90L4g0Y3RgtC+INC90LUg0L3QsNC00L4uINCl 0L7RgtGPINC00LvRjyDQvNC10L3RjyDQutC+0LPQtNCwLdGC0L4g0YLQvtC20LUg0YHRgtCw0LvQ viA8YnI+DQrQvdC10L7QttC40LTQsNC90L3QvtGB0YLRjNGOLCDRh9GC0L4g0YLQsNC6INC90LXQ u9GM0LfRjy48YnI+DQo8YnI+DQrQldGB0LvQuCDRgdC+0LfQtNCw0LXRgtGB0Y8g0L/RgNC40LLQ uNC70LXQs9C40YDQvtCy0LDQvdC90YvQuSDQutC+0L3RgtC10LnQvdC10YAsINGC0L4g0YEg0L/R gNCw0LLQsNC80Lggcm9vdCDQstGB0LUg0LHRg9C00LXRgiA8YnI+DQrRgNCw0LHQvtGC0LDRgtGM LiDQkCBmYWtlcm9vdCDQtNCw0LXRgiDQtNC+0L/QvtC70L3QuNGC0LXQu9GM0L3Ri9C1INC90LDQ utC70LDQtNC90YvQtSDRgNCw0YHRhdC+0LTRiyAtINC90LDQtNC+IDxicj4NCtGB0L3QsNGH0LDQ u9CwINGB0L7Qt9C00LDQstCw0YLRjCDQtNC10YDQtdCy0L4g0YTQsNC50LvQvtCy0L7QuSDRgdC4 0YHRgtC10LzRiyDQstC+INCy0YDQtdC80LXQvdC90L7QvCDQvNC10YHRgtC1LCDQuCDRg9C20LUg PGJyPg0K0L/QvtGC0L7QvCDRgNCw0YHQv9Cw0LrQvtCy0YvQstCw0YLRjCDQtdCz0L4g0LIgbmFt ZXNwYWNlLiDQkiDRjdGC0L7QvCDRgdC80YvRgdC70LUg0LPQvtGC0L7QstGL0LUg0L7QsdGA0LDQ t9GLINGC0LjQv9CwIDxicj4NCmRvd25sb2FkINC/0YDQvtGJ0LUuPGJyPjwvYmxvY2txdW90ZT48 ZGl2Pjxicj48L2Rpdj48ZGl2PtCi0L4sINGH0YLQviBkb3dubG9hZCDQv9GA0L7RidC1LCDQvdC1 INC+0LHRgdGD0LbQtNCw0LXRgtGB0Y8uINCc0L7QuSDQutC+0LzQvNC10L3RgtCw0YDQuNC5LdCy 0L7Qv9GA0L7RgSDQvtGC0L3QvtGB0LjQu9GB0Y8g0LjQvNC10L3QvdC+INC6INCz0L7RgtC+0LLQ utC1INC+0LHRgNCw0LfQsC4g0JLQtdC00Ywg0LLRiyDQvdCw0L/QuNGB0LDQu9C4OiAmcXVvdDvQ s9C+0YLQvtCy0LjRgtGMINC+0LHRgNCw0LfRiyDQtNC+0LvQttC10L0gcm9vdCZxdW90Oy4g0JLQ vtGCINGPINC4INC/0YDQtdC00L/QvtC70L7QttC40LssINGH0YLQviDQtdGB0LvQuCDQstGLINCy 0YHRkS3RgtCw0LrQuCDQtNC+0YjQu9C4INC00L4g0LPQvtGC0L7QstC60LgsINGC0L4g0L3QtdGC INC90LjQutCw0LrQvtC5INC90YPQttC00Ysg0L3QsCDRgdCw0LzQvtC8INC00LXQu9C1INCyINGC 0L7QvCwg0YfRgtC+0LHRiyDRjdGC0L4g0LHRi9C7IHJvb3QuPC9kaXY+PC9kaXY+PGRpdj48YnI+ PC9kaXY+LS0gPGJyPjxkaXYgZGlyPSJsdHIiIGNsYXNzPSJnbWFpbF9zaWduYXR1cmUiPjxkaXYg ZGlyPSJsdHIiPjxkaXY+V2l0aCBiZXN0IHJlZ2FyZHM8YnI+wqAgTWFrc2ltIERtaXRyaWNoZW5r bzwvZGl2PjwvZGl2PjwvZGl2PjwvZGl2Pg0K

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 14/02/2021 03:08, Maksim Dmitrichenko wrote:

чт, 11 февр. 2021 г. в 18:51, Maxim Nikulin:

Если правильно помню, то не сработает mkdev, такое namespaces не
позволяют. Так что готовить образы должен root. Дальше их уже может
распаковывать обычный пользователь, поэтому --template
download успешно работает.

Если создается привилегированный контейнер, то с правами root все будет
работать. А fakeroot дает дополнительные накладные расходы - надо
сначала создавать дерево файловой системы во временном месте, и уже
потом распаковывать его в namespace. В этом смысле готовые образы типа
download проще.

То, что download проще, не обсуждается. Мой комментарий-вопрос относился
именно к готовке образа. Ведь вы написали: "готовить образы должен
root". Вот я и предположил, что если вы всё-таки дошли до готовки, то
нет никакой нужды на самом деле в том, чтобы это был root.

Наверно я просто не достаточно аккуратно выразился. Я назвал образом
дерево файловой системы, которое будет использоваться внутри контейнера.
В этом смысле fakeroot к стандартным шаблонам действительно не
приспособили, от обычного пользователя работает только "download". Я
пытался сказать, что не стоит ждать, что `-t debian` заработает. Хоть
это и может показаться странным.

Надеюсь, что без особых сложностей можно написать шаблон, который будет
запускаться от обычного пользователя и создавать дерево файлов с помощью
debootstrap. Заодно получится образ, который можно распаковывать, чтобы
разворачивать такие же контейнеры. Хотя пока сам не попробовал, ручаться
не могу. Повисший на семафоре fakeroot я видел больше одного раза. С
другой стороны, проблема была слишком редкой, чтобы серьезно искать причины.

P.S. Я как-то не осознавал важности того, что когда запускаешь
lxc-контейнеры руками, их надо заворачивать в systemd units. И
lxc-attach надо пускать из-под systemd-run. Без Delegate=yes systemd,
которые живут снаружи и внутри, могут между собой поругаться. И это
лучше делать не только для чистых cgroup v2, хотя такие нюансы описаны
именно там
https://wiki.debian.org/LXC/CGroupV2

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)