FOG Project: Modificar el perfil /etc/apparmor.d/lxc/lxc-default-cgns para que funcione el servidor NFS en un contenedor Proxmox | Algo de Linux

lunes, 5 de marzo de 2018

FOG Project: Modificar el perfil /etc/apparmor.d/lxc/lxc-default-cgns para que funcione el servidor NFS en un contenedor Proxmox

Cuando instalamos el servidor FOG en un contenedor LXC, el servicio NFS no funcionará porque apparmor se encuentra activado y éste no permite NFS.

Si iniciáis un equipo para que arranque vía PXE, veréis un error como el siguiente:


Y si tratáis de hacer un showmount desde otra máquina para ver los recursos compartidos por el servidor fogserver mediante NFS, os mostrará el siguiente error:
# showmount -e fogserver
clnt_create: RPC: Program not registered
Como ya vimos en un post anterior, una solución es desactivar apparmor. Otra es crear un perfil o modificar uno existente para permitir NFS. En nuestro caso, vamos a editar el fichero /etc/apparmor.d/lxc/lxc-default-cgns:

/etc/apparmor.d/lxc/lxc-default-cgns
# Do not load this file.  Rather, load /etc/apparmor.d/lxc-containers, which
# will source all profiles under /etc/apparmor.d/lxc

profile lxc-container-default-cgns flags=(attach_disconnected,mediate_deleted) {
  #include <abstractions/lxc/container-base>

  # the container may never be allowed to mount devpts.  If it does, it
  # will remount the host's devpts.  We could allow it to do it with
  # the newinstance option (but, right now, we don't).
  deny mount fstype=devpts,
  mount fstype=cgroup -> /sys/fs/cgroup/**,
}
Y le vamos a añadir las tres líneas que he resaltado en color amarillo:

/etc/apparmor.d/lxc/lxc-default-cgns
# Do not load this file.  Rather, load /etc/apparmor.d/lxc-containers, which
# will source all profiles under /etc/apparmor.d/lxc

profile lxc-container-default-cgns flags=(attach_disconnected,mediate_deleted) {
  #include <abstractions/lxc/container-base>

  # the container may never be allowed to mount devpts.  If it does, it
  # will remount the host's devpts.  We could allow it to do it with
  # the newinstance option (but, right now, we don't).
  deny mount fstype=devpts,
  mount fstype=cgroup -> /sys/fs/cgroup/**,
  mount fstype=nfs*,
  mount options=(rw, bind, ro),
  mount fstype=rpc_pipefs,
}
Una vez modificado, reiniciamos apparmor:
# systemctl restart apparmor
Publicado por primera vez en http://enavas.blogspot.com.es

2 comentarios:

Carlos C dijo...

GRACIAS
EN MAYUSCULAS
GRACIAS
COBRES LO QUE COBRES, NO ES LO SUFICIENTE PARA ÉSTE ARTICULO
SIEMPRE TUYO

EQUIPO DE NETANIME

Anónimo dijo...

GRACIAS
EN MAYÚSCULAS
GRACIAS DE NUEVO
COBRES LO QUE COBRES POR ÉSTE ARTÍCULO, NO ES LO SUFICIENTE.

SIEMPRE TUYO
EQUIPO DE NETANIME