alexcccp27 мар в 15:41

Файловый сервер SAMBA / pool ZFS

7 мин

7.4K

SAN * IT-инфраструктура * Настройка Linux *

-1

Комментарии 5

Artur_Averin 27 мар в 16:34

Сейчас в офисе стоит сервер с хостом Proxmox, внутри - VM с Debian.

Диск проброшен с хоста в контейнер по NFS, а с Debian на Windows-клиентов уже через Samba.

Для удалёнщиков обёрнуто в WireGuard, который поднят так же внутри VM.

Пока работает, есть вроде не просит...

werter_l 31 мар в 15:17

Попробуйте lxc использовать вместо вм - гораздо меньше накладные расходы.

P.s. Может чего приглянется (требуется 3 буквы) https://forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-и-все-все-все-часть-2

Granulex 22 апр в 21:21

«sandbox none» в virtiofsd – добро пожаловать на тёмную сторону. Этот параметр отключает изоляцию демона, который крутится под рутом и торчит в сторону виртуальной машины. Если гость когда-нибудь скомпрометируют – следующая остановка: ядро хоста. Для продакшена стоит завернуть virtiofsd в systemd с CapabilityBoundingSet и SecureBits, а не просто махнуть рукой на песочницу.

alexcccp 22 апр в 21:46

Спасибо за инфо. у меня было подозрение //Поправил

Granulex 23 апр в 07:34

Рад, что помогло. Корневая причина обычно в конфликте SELinux-контекста virtiofsd с uid/gid маппингом – sandbox none решает симптом, а не причину. Правильный путь: chcon --reference на обёртку и явный uid-map в XML машины, тогда изоляцию можно оставить включённой. Другими словами, sandbox none – временный отладочный флаг, а не постоянное решение.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий