ich baue mir gerade ein Backup-System für mein Symcon auf. Dazu habe ich mir auf Proxmox einen LXC Container mit Ubuntu 22 LTS angelegt. Nun überlege ich, ob ich das „normal“ wie auf jedem anderen Linux installiere oder die Docker Version. Was spricht für und gegen die Docker Version?
LX ist nicht gleich Docker.
Docker stellt ein spezialisiertes Container-System zur Verfügung, LXC ist an sich eine normale VM (auf Proxmox als qemu gekennzeichnet, die aber etwas schlanker gehalten ist.
Ich habe bei mir IPS als normale VM laufen, aber sehe kein Problem darin, das als LXC zu machen.
Verwendet wird dann die ganz normale Linux-Distribution
Bei mir läuft auch Docker in einem LXC, aber bei mir läuft IPS auch in einen eigenen LXC, warum noch Docker dazwischen packen anstelle es direkt auf der LXC-Ebene laufen zu lassen.
Ich sehe bei der Nutzung von Docker keine Vorteile - eher nur Nachteile.
LXC’s lassen sich zumdem wesentlich leichter komplett sichern. Snapshot erstellen und externe speichern, gut ist.
Ich habe jahrelang Icinga als Docker laufen lassen und Docker für mich als eher als problematisch gesehen.
Das grösste Problem an Docker sehe ich darin, wenn der Container nicht startet - man hat keine Chance was zu machen.
Und auch nicht so schön aus meiner Sicht: eine Installation von irgendwelchen Hilfsprogrammen auf Docker geht ja auch nicht bzw. ist beim nächsten Update weg.
Daher hatte ich mein Icinga auch mehrere Jahre nicht aktualisiert, was ja eigentlich völliger Mist ist.
Wenn es funktioniert, hat es seinen Charme
Ich betreue eine Container-Umgebung in der Firma und die Antwort dazu ist einfach:
Container löschen, neu installieren. Wenn ein Container bei uns nicht startet, wird der erst mal gelöscht und reinstalliert sich dann selber neu.
Wer persistente Daten dann innerhalb des Containers speichert, ist dann selber schuld.
Ich nutze Docker auch nur dafür wo es keinen anderen Weg gibt, z.b. Backup-Tool für Tasmota läuft nur in Docker, da ist auch eine der wenigen Anwendung die ich habe.
Alles andere ist in Linux-Containern auf Proxmox, da kann ich Fehlersuche betreiben wie auf jeder Linux-Maschine auf.
ich habe mir IPS in einen LXC Container installiert und vom Prod ein Backup draufgespielt
Wenn ich aber über die Konsole draufgehe, ist nur das leere IPS da, meine Installation fehlt.
unter /var/lib/symcon ist aber alles da.
Was mach ich falsch?
Stimmen die Berechtigungen für die Ordner nach dem Zurückspielen fürs Backup ?
Müsste eigentlich alls root sein, oder hast du einen eigenen Benutzer angelegt ?
Ich habe eine Frage zur Installation von IP-Symcon in einem LXC-Container auf Proxmox. Sollte ich für die Installation einen privilegierten oder einen unprivilegierten Container verwenden?
Mein Eindruck nach etwas Recherche wäre, dass ein privilegierter Container einen einfacheren Datenaustausch ermöglicht.
Ein nicht privilegierter Container ist per Design etwas sicherer, er kann auf dem Wirt-System (also dem Proxmox-Server) nichts machen.
Das ist aber, aus meiner Sicht, ein eher theoretischer Aspekt für Container, die nicht direkten Internet-Kontakt haben; einen Fileserver, der öffentlich erreichbar ist, würde ich als nicht-privilegierter Container einrichten.
IPS ist zwar auch i.d.R. aus dem Internet erreichbar, im Normalfall ist aber damit nur das IPS an sich erreichbar und nicht das Betriebssystem; das wiederum wäre nur indirekt über ein IPS-Script per PHP erreichbar, was voraussetzen würde, das der Hacker Zugang zur IPS-Console hat (um ein Script zu schreiben) … Daher ist natürlich und sowieso wichtig, entsprechende komplexe Passwörter zu benutzen etc.
Entsprechende Kompetenz und viel kriminelle Energie vorausgesetzt - könnte er eventuell aus dem privilegierten Container „ausbrechen“, wäre damit auf dem Proxmox-Server und könnte andere Container manipulieren - zB einem dort laufenden Pi-hole einen Hosteintrag unterjubeln, bei dem der Eintrag von sparkasse.de auf einen Host des Hackers verweist, der rein zufällig eine Webseite betreibt, die der Sparkasse täuschend ähnlich sieht
Kling irgendwie aufwendig …
Da ist es vielleicht einfach, das Passwort des Benutzer zu erraten, das mit gewisser Wahrscheinlichkeit 123456 lautet (immer noch häufigstes Passwort lt. Identity Leak Checker).
Vielen Dank für eure Antworten!
Keinerlei Probleme mit privilegierten LXC-Containern hört sich gut an.
Ich hoffe, dass das ich das auch so gut zum Laufen bekomme