<div dir="ltr"><div dir="ltr">On Sun, Aug 18, 2019 at 5:36 PM Georg Gast <<a href="mailto:georg@schorsch-tech.de">georg@schorsch-tech.de</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
i use currently unprivileged lxc containers on debian buster started as<br>
root. I use for every container a separate set of uid/gids.<br>
<br></blockquote><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Debian Buster uses LXC 3.1.0<br>
<br>
Is in this setup any security gained, if the containers are started as a<br>
separate user different that root on the host?<br>
<br></blockquote><div><br></div><div><br></div><div>In general, yes. It should at least protect you from possible security issues in lxc-monitor.</div><div><br></div><div>However even if you do that, IIRC some processes still need to run as root (or with suid binary), e.g. lxcfs and lxc-user-nic. So you'd still be vulnerable if there are security issues in those processes.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I would prefer to start them as root from /var/lib/lxc as a simple<br>
lxc.auto.start = 1 let them be started at system boot.<br>
<br></blockquote><div><br></div><div>Generally you'd choose a mix between acceptable levels of ease - performance - security.</div><div><br></div><div>Personally, for your usecase, instead of using lxc directly, I recommend you install snapd (and lxd from snap package) or build lxd yourself (if you don't want to use snap). Use suitable storage backend (e.g. zfs/btrfs/lvm). Then enable security.idmap.isolated. This way you still get separate u/gids per container while enabling automation for some container administration process (e.g assigning u/gids, autostart, copying/backing up containers, etc).</div><div><br></div><div>-- </div><div>Fajar</div></div></div>