ubuntuusers.de

Hi,

(ich sucge nach einer Möglichkeit, dass (datei)system individuell für Programme anzupassen (link zum Thread: https://forum.ubuntuusers.de/topic/dauerhafete-individuelle-aenderungen-am-datei-/). Mit LXC ist das vielleicht möglich. ( https://wiki.ubuntuusers.de/LXC/ )

Beim Testen wirft es aber ein paar Warnungen und Fehlermeldungen.

wie im LXC link oben habe ich lxc package installiert, dann beim mounten kamen folgende Warnung:

sudo mount cgroup -t cgroup /sys/fs/cgroup 

mount: cgroup is already mounted or /sys/fs/cgroup busy
       cgroup is already mounted on /sys/fs/cgroup/systemd (und viele mehr (nur unterordner von csgroup))

dann beim testweisen ausführen der bash in einen container kam:

sudo lxc-execute -n container42 /bin/bash 

bash: cannot set terminal process group (1): Inappropriate ioctl for device
bash: no job control in this shell

Google hat mir bisher nicht geholfen, nur einen alten bugtracker gefunden. Weiß jemand, was das bedeutet oder wie ich abhilfe schaffen könnte?

Auf einem systemd welches ohnehin systemd installiert hat, könnte man auch einfach systemd-nspawn (Paket systemd-container, AFAIR) nehmen. Ich weiß nicht ob man da wirklich noch direkt mit LXC arbeiten möchte, LXD (das neue Ding aus Ubuntu 16.04) kann man eventuell auch mal anschauen.

mfg Stefan Betz

encbladexp schrieb:

Auf einem systemd welches ohnehin systemd installiert hat, könnte man auch einfach systemd-nspawn (Paket systemd-container, AFAIR) nehmen. Ich weiß nicht ob man da wirklich noch direkt mit LXC arbeiten möchte, LXD (das neue Ding aus Ubuntu 16.04) kann man eventuell auch mal anschauen.

"einfach"? Ich weiß nach dem durchlesen der Beschreibung immer noch nicht so richtig was sie machen, geschweige denn wie man sie verwendet. systemd-nspawn schaut eher so aus, dass man damit andere Betriebssysteme installieren kann und dort dann Programme laufen lassen kann, ebenso LXD. Bei LXD ist auch noch von servern und Hosts die Rede und auf die man mit remote zugreifen.

Ich will eigentlich nur, dass die gewünschten Programme mein System so verwenden wie es derzeit ist + die Änderungen (z.B. eine Datei erstellt), die sie in ihrer Box vorgenommen haben. Ein anderes BS installieren wollte ich eigentlich nicht.

Vielleicht hab ichs's auch noch nicht richtig verstanden, ist schon spät.

Scheinen zumindest für ihren Anwendungszweck mächtige Programme zu sein, muss nochmal genauer rausbekommen, was sie tun.

Aber schon einmal Danke für die Infos.

OK, bleiben wir bei dem Thema doch mal bei den Anforderungen:

1. Programme sollen die gleichen sein wie auf dem aktuellen System.

2. Änderungen die diese Programme am Dateisystem durchführen sollen nicht im aktuellen System landen.

Das ergibt für mich drei Fragen:

1. Die Änderungen können irgendwo auf deinem System liegen? Oder hast du da eine bestimmte Vorstellung?

2. Gibt es Dateien mit Ausnahmen von der Regel? Also dürfen die Programme z.B. /home oder /mnt/austausch (oder sowas) verändern ohne das die Programme nur ihre eigene Umgebung verändern?

3. Sind die Programme grafisch? An welche Programme dachtest du?

mfg Stefan Betz

Hi Stefan, danke für die Hilfe.

1. Programme sollen die gleichen sein wie auf dem aktuellen System.

Aber man soll auch die Möglichkeit haben, welche zu installieren, die nicht auf dem aktuellen System sind. (oder auch zu deinstallieren). Diese gibt es dann nur in dem Container/Box/.. (bzw nicht mehr).

1. Änderungen die diese Programme am Dateisystem durchführen sollen nicht im aktuellen System landen.

Jup. Aber nicht schlimm, wenn man vom aktuellen System darauf irgendwie zugreifen kann. (z.b. über Ordnerstruktur: /mnt/containerBoxA/lib/, /mnt/containerBoxA/home/, ..). Für das normale System ist das dann aber nur eine Ansammlung von normalen Dateien ohne weitere Bedeutung.

Das ergibt für mich drei Fragen:

1. Die Änderungen können irgendwo auf deinem System liegen? Oder hast du da eine bestimmte Vorstellung?

Das wäre egal. Container/Box/.. A soll nur nicht unbedingt auf den Inhalt von Container/Box/.. B zugreifen können. (nicht so schlimm, wenn es über Umwege irgendwie möglich ist). Soll quasi so sein, dass alle Programme die in Container/Box/.. ausgeführt werden, erstmal die eigenen Dateien anschauen. Falls die gewünschte Datei im Container/Box/.. nicht vorhanden ist, sich dann das normale System vornehmen.

1. Gibt es Dateien mit Ausnahmen von der Regel? Also dürfen die Programme z.B. /home oder /mnt/austausch (oder sowas) verändern ohne das die Programme nur ihre eigene Umgebung verändern?

Ausnahmen werden nicht benötigt, man muss nur irgendwie in der Lage sein, eine gewünschte Datei aus dem Container/Box/.. irgendwie herauszubekommen (auf dem lokalen Rechner).

1. Sind die Programme grafisch? An welche Programme dachtest du?

Ja, sind meist grafisch. Aber es würde 2D reichen, so wie firefox, chrome. Sowas wie 3D Spiele wär zwar auch ganz gut aber muss nicht sein. Gedacht ist es zum testen von Programmen, zum verwenden von Programmen deren Inhalt ich nicht kenne und für proprietäre Software (die nach Hause telefoniert). (Internetzugriff muss man also noch irgendwie einschränken können. Aber dieses Problem wurde schon gelöst: https://forum.ubuntuusers.de/topic/zugriff-auf-internet-nur-fuer-bestimmte-progra/ ). Schön wäre auch, wenn man damit die gleiche Software mehrmals starten könnte, was bei mancher normal nicht geht.

Unter Windows gibts es "Sandboxie", womit man das alles machen kann (für manche Programme geht nicht alles).

Wird mal einen Blick auf diesen Post hier, dort geht es um zwei neue Features in Kombination mit btrfs (und nur damit!). Theoretisch:

systemd-nspawn --template=/ --directory=/pfad/der/kopie /usr/bin/deinprogramm

Mit dem Parameter -E kann man Umgebungsvariablen, z.b. die DISPLAY variable für X11 übergeben. Das ganze habe ich so selbst noch nicht probiert, und ist sicherlich etwas das man zuerst in einer VM probieren sollte.

Bei der Aktion wird durch btrfs ein Snapshot von deinem Root Dateisystem als Subvolume angelegt, und alle Änderungen sind dann im mit --directory angegebenen Pfad. Sieh dir am besten mal die Manpage vom Befehl systemd-nspawn an.

Eventuell taugt dieser Ansatz ja für dein Problem, probiert habe ich dies wie gesagt nicht. Und eventuell gibt es sogar schönere Wege sein Ziel zu erreichen.

mfg Stefan Betz

Danke für den Befehl und die Info's. Ich installiere mal ein ubuntu mit btrfs und teste es mal. Aus der manpage wurde ich gestern nacht noch nicht schlau draus. Heut ist das Bild aber schon ein bisschen klarer ☺

Beim Snapshot wird nicht das ganze root Verzeichniss ins Subvolume kopiert, sondern nur eine Datei erstellt, wenn das Programm etwas schreiben will, richtig? Wirken sich dann änderungen im root Verzeichniss auch auf das Programm aus? Oder bleibt es auf dem Stand, welches es beim aufrufen des Befehls hatte?

(den link kann ich übrigens nicht öffnen)

Beim Snapshot auf btrfs arbeitest du so lange mit der Quelldatei bis du diese im Snapshot verändert. Die Dateien laufen also mit der Zeit auseinander, desweiteren werden keine Änderungen vom Host weitergereicht. Daher auch die Bezeichnung Snapshot.

Kopiert wird das also nicht wirklich was, es wird nur dem Dateisystem gesagt was es tun soll, den Rest macht das Dateisystem wie beschrieben.

mfg Stefan Betz

VM fertig installiert und es scheint zu klappen! nice ☺

danach kommen noch ein paar Fehler:

sudo systemd-nspawn --template=/ --directory=/home/uname/container/test /bin/bash
[sudo] password for uname: 
Populated /home/uname/container/test from template /.
Spawning container test on /home/uname/container/test.
Press ^] three times within 1s to kill container.
Failed to create directory /home/uname/container/test/sys/fs/selinux: Read-only file system
Failed to create directory /home/uname/container/test/sys/fs/selinux: Read-only file system
/etc/localtime is not a symlink, not updating container timezone.
Host and machine ids are equal: refusing to link journals
root@test:/# ls

/etc/localtime bestimmt, weil Uhrzeit vom Hauptsystem nicht ausgelesen werden darf. selinux muss ich noch rausfinden. ^] geht auch nicht aber geht auch einfach mit exit. (Da kommt noch error code 2)

Mit dem Parameter -E kann man Umgebungsvariablen, z.b. die DISPLAY variable für X11 übergeben.

Da steht leider nix von auf der manpage von systemd-nspawn. Da suche ich nochmal.

encbladexp schrieb:

Beim Snapshot auf btrfs arbeitest du so lange mit der Quelldatei bis du diese im Snapshot verändert. Die Dateien laufen also mit der Zeit auseinander, desweiteren werden keine Änderungen vom Host weitergereicht. Daher auch die Bezeichnung Snapshot.

Danke, hatte ich mir schon so gedacht aber wollte vorsichtshalber nochmal nachfragen. Hatte bisher nix mit Snapshots gemacht.

schön schön; das man nicht direkt sieht, was geändert wurde (da alle Dateien im Ordern vorhanden) und das Änderungen auf dem Hauptsystem keinen Einfluss auf den container hat, ist nicht ganz optimal aber damit kann ich leben. Unter Umständen kann es ja sogar von Vorteil sein.

Fehlt eigentlich nur das mit dem Display.

Edit: Geht mit der option: "--setenv=DISPLAY=:0"

Man kann ja auch noch ein haufen mehr einstellen, auch Verbindung zum Internet einschränken mit "--private-network". Wenn ich das jedoch mache, geht das mit dem Display nicht mehr.

Auch kann ich mit sudo apt-get install nix im container installieren. z.B. bei sudo apt-get install lynx kommt:

Do you want to continue? [Y/n] Y
Ign:1 http://de.archive.ubuntu.com/ubuntu xenial/universe i386 lynx-common all 2.8.9dev8-4ubuntu1
Err:2 http://de.archive.ubuntu.com/ubuntu xenial/universe amd64 lynx amd64 2.8.9dev8-4ubuntu1
  Temporary failure resolving 'de.archive.ubuntu.com'
Err:1 http://de.archive.ubuntu.com/ubuntu xenial/universe i386 lynx-common all 2.8.9dev8-4ubuntu1
  Temporary failure resolving 'de.archive.ubuntu.com'
E: Failed to fetch http://de.archive.ubuntu.com/ubuntu/pool/universe/l/lynx/lynx-common_2.8.9dev8-4ubuntu1_all.deb  Temporary failure resolving 'de.archive.ubuntu.com'

E: Failed to fetch http://de.archive.ubuntu.com/ubuntu/pool/universe/l/lynx/lynx_2.8.9dev8-4ubuntu1_amd64.deb  Temporary failure resolving 'de.archive.ubuntu.com'

E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?

Auf dem host ging es aber. Zugriff auf das Internet hatte der Container auch.

Edit: Danke für die viele Hilfe. Ich mache mal bzgl systemd-nspawn ( private-network + Display einen neuen Thread: https://forum.ubuntuusers.de/topic/systemd-nspawn-private-network-zusammen-mit-se/ und apt-get install: https://forum.ubuntuusers.de/topic/sudo-apt-get-install-in-einem-container-system/)

ihkavu schrieb:

/etc/localtime bestimmt, weil Uhrzeit vom Hauptsystem nicht ausgelesen werden darf.

systemd erwartet das /etc/localtime ein Symlink ist. Wenn es das nicht ist, macht es nichts an der Datei. Die Fehlermeldungen sind recht aussagekräftig 😉

selinux muss ich noch rausfinden.

Hast du den selinux?

^] geht auch nicht aber geht auch einfach mit exit. (Da kommt noch error code 2)

Auf einer deutschen Tastatur ist das Strg+AltGr+9.

schön schön; das man nicht direkt sieht, was geändert wurde (da alle Dateien im Ordern vorhanden) und das Änderungen auf dem Hauptsystem keinen Einfluss auf den container hat, ist nicht ganz optimal aber damit kann ich leben. Unter Umständen kann es ja sogar von Vorteil sein.

Das ist technisch nur schwer anders zu lösen. Wenn du im Container was installierst, welches Datei X ändert, aber am Host wird auch Datei X geändert. Woher sollte dann der Container wissen welche Änderungen es wegwerfen darf?

Man kann ja auch noch ein haufen mehr einstellen, auch Verbindung zum Internet einschränken mit "--private-network". Wenn ich das jedoch mache, geht das mit dem Display nicht mehr.

Richtig, X11 erfordert eine Netzwerkverbindung um zu funktionieren. Ohne Netzwerk, kein X11. Wenn du ein Netzwerk Interface zwischen Host und Container erstellst kannst du auch darüber X11 laufen lassen, dann hat der Container nur Netz zu dem Host, nicht aber zum Internet.

Auch kann ich mit sudo apt-get install nix im container installieren.

Das dürfte an der Namensauflösung (/etc/resolv.conf) liegen, beachte aber auch: DNS und apt-get brauchen natürlich auch Netzwerk.

mfg Stefan Betz
PS: Viel Spaß beim spielen 😉

Hi,

Die Fehlermeldungen sind recht aussagekräftig 😉

Wenn man weiß warum das ein Symlink sein muss und worauf. Wenn nicht, dann nicht ☹

Hast du den selinux?

Wusste ja nichtmal was das ist, liest sich wie NSA spyware. Habe aber zumindest libselinux1 installiert. Laut wiki soll es ja Teil des Kernels sein. Habe Ubuntu 16.04 frisch installiert.

Auf einer deutschen Tastatur ist das Strg+AltGr+9.

Thx.

Das ist technisch nur schwer anders zu lösen. Wenn du im Container was installierst, welches Datei X ändert, aber am Host wird auch Datei X geändert. Woher sollte dann der Container wissen welche Änderungen es wegwerfen darf?

Ja, stimmt schon aber könnte ja alle vom container unveränderten dateien updaten. Bei Sandboxie kann man in der Sandbox auch Dinge verwenden, die erst nach dem Erstellen der Sandbox/Container erstellt wurden. Aber nicht weiter schlimm, man kann die Änderung dann auch im Container machen.

Richtig, X11 erfordert eine Netzwerkverbindung um zu funktionieren. Ohne Netzwerk, kein X11. Wenn du ein Netzwerk Interface zwischen Host und Container erstellst kannst du auch darüber X11 laufen lassen, dann hat der Container nur Netz zu dem Host, nicht aber zum Internet.

Ah ok, dann so nochmal probieren. Versuche nur das Display weiter zu reichen waren gescheitert ☹

Das dürfte an der Namensauflösung (/etc/resolv.conf) liegen, beachte aber auch: DNS und apt-get brauchen natürlich auch Netzwerk.

Jup, war für unterschiedliche container gedacht. Einer mit einer ohne. Ein Symlink von /etc/resolv.conf wurde mir in https://forum.ubuntuusers.de/topic/sudo-apt-get-install-in-einem-container-system/ vorgeschlagen, ging aber leider nicht.

Sry, für die dummen Fragen aber Linux macht es einen nicht gerade einfach. Wenn man in Windows ein neues Progamm nutzen will, installiert man das und kann loslegen. Bei Linux brauch man viel mehr Hintergrundwissen. Wenn ich da Programm A installiere und nutzen will, muss ich wissen, wass die Programme B,C,D tun. Für B muss ich dann wiederum wissen was das Programm E tut und für D das was F tut. Außerdem muss man wissen, das auf dem System im Pfad G etwas über H steht aber nur wenn I nicht J ist. Falls I gleich K ist, dann muss man es so machen wie bei L für den Fall M. Für die Parameter des Programmes muss man es bei Parameter N natürlich so wie bei Programm O mit dem Parameter P machen. Mögliche Werte sind Q,R,S und T (falls U zutrifft), sonst V,W und X. Falls man die Werte gerade nicht mehr weiß, kann man einfach bei Y unter der Rubrik Z nachschauen.

In der Manpage steht ja eine Erklärung der einzelnen Parameter drin. Das ist meist aber nur der Name des Parameters in ausführlicher Form. z.B. Bei dem Paramer --setenv . Woher soll der unbedarfte Nutzer Wissen, dass da "DISPLAY=:=0" hinkommen kann. Ich habe keine Ahnung was man da noch einsetzen könnte. Bei google findet man höchstens Anwendungsbeispiele. Ist es als erfahrener Linux Nutzer gängige Praxis, den Quelltext eines jeden Programmes durchzuschauen, um mögliche Parameterangaben herauszufinden?

PS: Viel Spaß beim spielen

anfangs war es noch lustig, so langsam bin ich am verzweifeln

Aber danke für deine Mühen mir die Ubuntu Welt ein bischen näher zu bringen.

ihkavu schrieb:

Wenn man weiß warum das ein Symlink sein muss und worauf. Wenn nicht, dann nicht ☹

/etc/localtime muss ein Symlink auf deine Zeitzone unter /usr/share/zoneinfo sein.

Habe Ubuntu 16.04 frisch installiert.

Ubuntu verwendet kein SELinux, also diese Meldung einfach ignorieren.

Ein Symlink von /etc/resolv.conf wurde mir in https://forum.ubuntuusers.de/topic/sudo-apt-get-install-in-einem-container-system/ vorgeschlagen, ging aber leider nicht.

Grundlegend: Geht den ein ping bis zum verwendeten DNS Server? Wenn ein ping nicht geht, dann braucht man an den DNS Einstellungen nicht suchen sondern an den Netzwerkeinstellunge. Die Ausgaben der Befehle ip addr show und ip route show im Container wären nice.

Sry, für die dummen Fragen aber Linux macht es einen nicht gerade einfach.

Es gibt keine dummen Fragen. Beachte auch das du ein neues Betriebssystem verwendet welches von den Grundlagen her komplett in die andere Richtung mit anderen Maßstäben entwickelt wurde.

Wenn man in Windows ein neues Progamm nutzen will, installiert man das und kann loslegen.

Die typischen Heimanwenderanwendungen, ja. Beachte das du mit dem Container Thema dir was rausgesucht hast das eher in größeren Umgebungen verwendet wird. Ich glaub die Art der Nutzung und die Ziele unterschieden sich da auch deutlich von dem was du mit Sandboxie erwartest.

Ist es als erfahrener Linux Nutzer gängige Praxis, den Quelltext eines jeden Programmes durchzuschauen, um mögliche Parameterangaben herauszufinden?

Nein, ich selbst kann z.B. mit C/C++ Code auch nichts anfangen. Umgebungsvariablen spielen unter Windows keine so große Rolle, unter Unix ähnlichen Systemen jedoch schon. Da ich deinen Wissenstand nicht kenne kann ich natürlich auch nur raten was du bisher schon an Wissen vorhanden hast 😉

Zum Thema Verzweiflung: Eventuell solltest du dir erstmal eine einfachere Baustelle aussuchen.

mfg Stefan Betz

/etc/localtime muss ein Symlink auf deine Zeitzone unter /usr/share/zoneinfo sein.

Ja, soweit hat ich es schon kapiert^^. Ich meinte das allgemein bezogen. Um dieses Problem zu lösen muss man wissen, um welche Datei es geht und wo diese ist. Wenn man das weiß, ist es einfach zu lösen, wenn man es nicht weiß, ist es das nicht.

Grundlegend: Geht den ein ping bis zum verwendeten DNS Server? Wenn ein ping nicht geht, dann braucht man an den DNS Einstellungen nicht suchen sondern an den Netzwerkeinstellunge. Die Ausgaben der Befehle ip addr show und ip route show im Container wären nice.

'ip addr show' und 'ip route show' sehen auf dem host und im container gleich aus.

 ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx:x brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic enp7s0
       valid_lft xxxxxxsec preferred_lft xxxxxxsec
    inet6 xxxx::xxxx:xxxx:xxx:xxxx/64 scope link 
       valid_lft forever preferred_lft forever
(zahlen mal durch x ersetzt)


ip route show
default via 192.168.1.1 dev enp7s0  proto static  metric 100 
169.254.0.0/16 dev enp7s0  scope link  metric 1000 
192.168.1.0/24 dev enp7s0  proto kernel  scope link  src 192.168.1.3  metric 100 

was ich meinte: auf host:

$:ping wikipedia.de
PING wikipedia.de (134.119.24.29) 56(84) bytes of data.

in container

$: ping wikipedia.de
ping: unknown host wikipedia.de

aber

$: ping 134.119.24.29
PING 134.119.24.29 (134.119.24.29) 56(84) bytes of data.

geht. Container weiß nur mit den Namen nix anzufangen. Wenn ich im container den firefox starte kann ich ganz normal wikipedia.de usw eingeben.

laut: http://askubuntu.com/questions/152593/command-line-to-list-dns-servers-used-by-my-system

nmcli device show enp7s0 | grep IP4.DNS
IP4.DNS[1]:                             192.168.1.1

Soll das mein DNS server sein (vom host system). Ist ip vom router. Da war dann glaub auch noch ein server eingetragen. wenn ich das jedoch im container mache bekomme ich einen Fehler

$: nmcli device
(process:43): nmcli-CRITICAL **: Error: Could not create NMClient object: Could not connect: No such file or directory.

.

@@@@@@@

Für den anderen Container, der kein Internet haben soll, habe ich es jetzt erstmal so gelöst, dass ich das Programm als Mitglied einer Gruppe starte, die keine Rechte für Internet hat. (https://forum.ubuntuusers.de/topic/zugriff-auf-internet-nur-fuer-bestimmte-progra/ , nochmal danke an lubux)

DNS Server stehen in der Datei /etc/resolv.conf, wenn IP Pings gehen musst du nur noch schauen warum dort kein DNS Server in der Datei ist. Meist wird die Datei von NetworkManager verwaltet.

mfg Stefan Betz

encbladexp schrieb:

DNS Server stehen in der Datei /etc/resolv.conf, wenn IP Pings gehen musst du nur noch schauen warum dort kein DNS Server in der Datei ist. Meist wird die Datei von NetworkManager verwaltet.

Die scheint laut dem link oben nur indirekt Einfluss zu haben.

beim host steht auch nur:

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.1.1
search localdomain

jedoch gibt es sie im container nicht und ich kann sie auch mit sudo nicht erstellen.

$: sudo touch /etc/resolv.conf
sudo: unable to resolve host base4: Connection refused
touch: cannot touch '/etc/resolv.conf': No such file or directory

oder mit sudo nano kommte beim speichern, dass datei oder ordner nicht existiert.