Установка Debian под LXC в Ubuntu

При попытке установить Debian под LXC возникают следующие ошибки:

debootstrap is /usr/sbin/debootstrap
Checking cache download in /var/cache/lxc/debian/rootfs-bookworm-amd64 …
gpg: key 7638D0442B90D010: 4 signatures not checked due to missing keys
gpg: key 7638D0442B90D010: «Debian Archive Automatic Signing Key (8/jessie) ftpmaster@debian.org» not changed
gpg: Total number processed: 1
gpg: unchanged: 1
Downloading debian minimal …
I: Target architecture can be executed
I: Retrieving InRelease
I: Checking Release signature
E: Release signed by unknown key (key id F8D2585B8783D481)
The specified keyring /var/cache/lxc/debian/archive-key.gpg may be incorrect or out of date.
You can find the latest Debian release key at https://ftp-master.debian.org/keys.html
Failed to download the rootfs, aborting.
Failed to download ‘debian base’
failed to install debian

Не нужно городить костылей в виде ручной установки ключа в /var/cache/lxc/debian/archive-key.gpg и прочего, достаточно просто установить пакет debian-archive-keyring:

apt install debian-archive-keyring

Запуск snap в LXC в Ubuntu 22.04 Jammy

Ранее я писал статью о том, как запустить snap под Ubuntu 18.04 Bionic, однако сейчас всё усложнилось и потребовалось искать и изучать актуальную информацию.

На данный момент, актуальный список действий таков:

  1. Подгружаем модуль fuse на хосте (modprobe fuse), делаем его автозагрузку;
  2. В конфигурационный файл конейнера (/var/lib/lxc/containername/config) прописываем следующие параметры:
    • lxc.mount.entry = /dev/fuse dev/fuse none bind,create=file,optional
    • lxc.apparmor.profile = unconfined
    • lxc.cap.drop =
    • lxc.cap.drop = mac_override sys_time sys_module sys_rawio
  3. Запускаем контейнер, устанавливаем snap: apt install snapd -y
  4. Проверяем работу: snap install hello-world и получаем ошибки

Выполняем snap install hello-world ещё раз и магическим образом всё начинает работать.

Почему snap такой кривой и требует гору костылей — вопрос остаётся открытым.

Кстати говоря, под LXD всё работает «из коробки», то есть просто создаём контейнер lxc launch images:ubuntu/jammy test и всё в нём сразу запускается.

Правильная установка GRUB UEFI на USB флешку

Предположим, раздел fat32 флешки примонтирован в директорию /mnt, следовательно команда выглядит следующим образом:

grub-install —removable —target=x86_64-efi —boot-directory=/mnt/boot —efi-directory=/mnt

Как мы видим, указывать в —efi-directory нужно именно корень флешки, а не ./boot/EFI или ./EFI.

Как запустить OpenWRT под lxc и настроить маршрутизацию

Использование программного роутера — довольно недорогое и одновременно высокопроизводительное решение, но использование ОС внутри виртуальной машины с аппаратной виртуализацией создаёт дополнительные задержки и повышенную нагрузку на железо. Лучшим решением является использование виртуальных машин с программной виртуализацией, в данном случае я использую LXC.

В качестве «роутерной» ОС будет выступать свободная операционная система OpenWRT.

К сожалению, готовых шаблонов для автоустановки нет, поэтому будем писать конфиг вручную.

Сперва, нам необходимо скачать образ корневой ФС, она имеет имя в роде rootfs-squashfs.img.gz, например https://downloads.openwrt.org/releases/19.07.3/targets/x86/64/openwrt-19.07.3-x86-64-rootfs-squashfs.img.gz

Переходим в /var/lib/lxc, создаём директорию с именем машины и копируем ФС в vm/rootfs

  1. cd /var/lib/lxc
  2. wget https://downloads.openwrt.org/releases/19.07.3/targets/x86/64/openwrt-19.07.3-x86-64-rootfs-squashfs.img.gz
  3. gzip -d openwrt-19.07.3-x86-64-rootfs-squashfs.img.gz
  4. mkdir mount
  5. mount openwrt-19.07.3-x86-64-rootfs-squashfs.img mount -o loop
  6. mkdir -p router/rootfs
  7. cp -a mount/* router/rootfs/
  8. umout mount
  9. rm openwrt-19.07.3-x86-64-rootfs-squashfs.img

Приступаем к написанию конфига router/config. Общий вид такой:

lxc.include = /usr/share/lxc/config/common.conf
lxc.include = /usr/share/lxc/config/userns.conf
lxc.arch = linux64
lxc.mount.auto = proc:mixed sys:ro cgroup:mixed
lxc.rootfs.path = dir:/var/lib/lxc/router/rootfs
lxc.cgroup.devices.allow = c 108:0 rwm
lxc.mount.entry = /dev/ppp dev/ppp none bind,optional,create=file

lxc.net.0.type = veth
lxc.net.0.link = br0
lxc.net.0.flags = up
lxc.net.0.hwaddr = 52:a4:00:d3:4e:ea
lxc.net.0.name = eth0

Касательно опций

lxc.cgroup.devices.allow = c 108:0 rwm
lxc.mount.entry = /dev/ppp dev/ppp none bind,optional,create=file

Они необходимы для работы PPP (PPPoE), если это не требуется, необходимо удалить эти строчки.

108:0 определяется таким образом:

На хост-машине: ls -ls /dev/ppp

0 crw——- 1 root root 108, 0 May 21 13:05 /dev/ppp

108, 0 и есть нужные нам значения.

После того, как настроили сеть и зашли на роутер либо через luCI, либо через консоль, необходимо прописать кастомное правило для фаерволла, для этого заходим в Network — Firewall — Custom rules и прописываем iptables -t nat -A POSTROUTING -o pppoe-inet -j MASQUERADE

Или же прописать в /etc/firewall.user

где pppoe-inet имя вашего интерфейса «с интернетом». Да, это костыль, почему-то по дефолту маршрутизация с lxc версией не работает.

Не работает сканер на Ubuntu 18.04 Bionic, Brother (DCP-7057R): scanimage: open of device brother4:net1;dev0 failed: Invalid argument

Предполагается, что вы уже установили драйвера brscan(2,3,4 — в зависимости от модели), а пользователь присутствует в нужной группе (scanner) и заданы правила для устройства, но sane ни в какую не хочет начать сканировать.

Дело в том, что необходимые библиотеки (драйвера) для работы сканера в пакетах находятся в /usr/lib64 и /usr/lib64/sane, в то время как sane «ищет» их в папке /usr/lib и /usr/lib/sane.

Поэтому, делаем следующее:

  1. mkdir /usr/lib/sane
  2. ln -s /usr/lib64/sane/libsane-brother* /usr/lib/sane
  3. ln -s /usr/lib64/libbrscandec* /usr/lib
  4. ln -s /usr/lib64/libbrcolm* /usr/lib

Важно! По какой-то причине, после установки sane, пользователь saned (от имени которого работает собственно сам sane, не добавлен в группу lp и scanner. Его необходимо добавить, иначе будут проблемы с правами, сделать это можно так: sudo usermod -aG scanner,lp sane

После этого сканер должен заработать. Не забывайте задать параметры разрешения, иначе scanimage —test не определяет корректные параметры.

Первоисточник: https://askubuntu.com/questions/564059/ubuntu-14-04-scanimage-invalid-argument (немного доделано).

Использование менеджера пакетов Snappy (snap) в контейнерах LXC на примере Ubuntu Bionic

При стандартной установке контейнера вы непременно столкнётесь с кучей ошибок в процессе попытки установить/запустить ПО через snap.


Для решения этой проблемы необходимо сделать следующее:


0.1) Первым делом, необходимо остановить работу контейнера (lxc-stop -n rc)


1) Откройте конфигурационный файл контейнера (/var/lib/lxc/rc/config) и допишите в него две строчки:


lxc.mount.entry = /dev/fuse dev/fuse none bind,create=file,optional

lxc.mount.auto=cgroup:rw

0.2) Запустите контейнер (lxc-start -n rc) и подключитесь к нему (lxc-attach -n rc)

2) В контейнер установите squashfuse и fuse (и snapd, если вы этого ещё не сделали) — apt update; apt install squashfuse fuse snapd

3) Проверьте работоспособность.
snap install hello-world; snap run hello-world

Важно! После установки первого пакета вы получите кучу ошибок:

Это изображение имеет пустой атрибут alt; его имя файла - image-3.png

Просто остановите и запустите контейнер снова (lxc-stop и lxc-start)

Параллельное выполнение команд с одного читаемого файла

Задача: допустим, при создании тяжелого бэкапа или вообще дампа диска, необходимо параллельно к созданию сжатого файла еще и создать контрольную сумму исходного файла.

Сделать это можно с помощью утилиты pee, входящей в состав пакета программ moreutils. Для установки в Ubuntu используем apt install moreutils.

Сделать это можно так:

dd if=test | pee «dd of=newtest» «sha512sum».

Результаты следующие:

Последовательное выполнение

Тут пришлось делать скрипт, т.к. time не хотел никак выполнять несколько команд. 
cat ./sc
#!/bin/bash
if=test of=newtest
sha512sum test

time ./sc 678d36fc5a1d14b23dcd04740604a643f2d3159167af1211ab779ac10394ac443a06feabee9d826fd715bce84e0d13ea75bc85fe990e340e775c1d9521c8dac9 test

real 0m24.453s
user 0m23.885s
sys 0m0.548s

[свернуть]

Параллельное выполнение

time dd if=test | pee «dd of=newtest» «sha512sum»
1228276+0 records in
1228276+0 records out
628877312 bytes (629 MB, 600 MiB) copied, 14.766 s, 42.6 MB/s
1228276+0 records in
1228276+0 records out
628877312 bytes (629 MB, 600 MiB) copied, 14.4783 s, 43.4 MB/s
678d36fc5a1d14b23dcd04740604a643f2d3159167af1211ab779ac10394ac443a06feabee9d826fd715bce84e0d13ea75bc85fe990e340e775c1d9521c8dac9 —

real 0m14.779s
user 0m12.009s
sys 0m22.671s

[свернуть]

Также можно сделать и с архивом:

tar cf — test | cat | pee «dd of=archive.tar» «sha512sum»

выведет контрольную сумму sha512 конечного архива, и, собственно говоря, сам архив будет создан.

где:

test — имя архивируемого файла/директории

archive.tar — имя конечного архива

Для создания сжатого архива, например, lz4:

tar cf — test | lz4 -z| cat | pee «dd of=archive.tar.lz4» «sha512sum»

Как мы видим, параллельное выполнение значительно быстрее, особенно при нескольких задачах, нежели последовательное, и при работе с большими файлами это просто необходимость.

Как установить браузер Tor на Ubuntu 17.10 Artful

При попытке установить браузер тор через torbrowser-launcher выплёвывается куча ошибок:

Текст ошибки

Unhandled Error Traceback (most recent call last): File «/usr/lib/python2.7/dist-packages/twisted/web/_newclient.py», line 929, in dispatcher return func(*args, **kwargs) File «/usr/lib/python2.7/dist-packages/twisted/web/_newclient.py», line 1497, in _finishResponse_WAITING self._giveUp(Failure(reason)) File «/usr/lib/python2.7/dist-packages/twisted/web/_newclient.py», line 1550, in _giveUp self._disconnectParser(reason) File «/usr/lib/python2.7/dist-packages/twisted/web/_newclient.py», line 1538, in _disconnectParser parser.connectionLost(reason) -— —- File «/usr/lib/python2.7/dist-packages/twisted/web/_newclient.py», line 550, in connectionLost self.response._bodyDataFinished() File «/usr/lib/python2.7/dist-packages/twisted/web/_newclient.py», line 929, in dispatcher return func(*args, **kwargs) File «/usr/lib/python2.7/dist-packages/twisted/web/_newclient.py», line 1185, in _bodyDataFinished_CONNECTED self._bodyProtocol.connectionLost(reason) File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 329, in connectionLost self.all_done(reason) File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 346, in response_finished self.run_task() File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 276, in run_task self.run_task() File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 282, in run_task self.verify() File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 491, in verify self.run_task() File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 286, in run_task self.extract() File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 531, in extract self.run_task() File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 290, in run_task self.run() File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 547, in run if not self.check_min_version(): File «/usr/lib/python2.7/dist-packages/torbrowser_launcher/launcher.py», line 535, in check_min_version for line in open(self.common.paths[‘tbb’][‘versions’]).readlines(): exceptions.IOError: [Errno 2] No such file or directory: ‘/home/user/.local/share/torbrowser/tbb/x86_64/tor-browser_en-US/Browser/TorBrowser/Docs/sources/versions

[свернуть]

Но и при попытке добавить репозиторий

add-apt-repository ppa:webupd8team/tor-browser

вываливается ошибка 404. Это происходит потому, что в данном репозитории ещё нет пакетов для нашей свежей версии убунты, поэтому смотрим, для каких наиболее свежих релизов есть пакеты:

Ага, zesty есть, следовательно, делаем следующее:

    1. Добавляем сам репозиторий sudo add-apt-repository ppa:webupd8team/tor-browser
    2. Редактируем файл /etc/apt/sources.list.d/webupd8team-ubuntu-tor-browser-artful.list и меняем artful на zesty
    3. Обновляем индексы пакетов apt update
    4. Устанавливаем сам браузер тор apt install tor-browser

Готово! Тор запускается и прекрасно работает!