Ошибки при запуске LXC контейнера

Да, если кому пригодится:

Ошибка

Starting OpenBSD Secure Shell server: sshdCould not load host key: /etc/ssh/ssh_host_rsa_key
Could not load host key: /etc/ssh/ssh_host_dsa_key

лечится выполнением команды (внутри контейнера)

dpkg-reconfigure openssh-server

Разобрался в чём проблема большинства ошибок mount: из LXC-контейнера недоступна tmpfs. Только вот как это побороть?

смонтировать ее через fstab контейнера, не?

смонтировать ее через fstab контейнера, не?

А как?
Любая команда mount с tmpfs выдаёт ошибку:

mount -t tmpfs -o size=1G,nr_inodes=10k,mode=0700 tmpfs /mnt
mount: permission denied

Хз. У меня это монтирует скрипт /etc/init.d/lxc.${MACHINENAME}. Дистрибутив - Gentoo

Монтирует он перед стартом машины из /etc/lxc/${MACHINENAME}.fstab, там у меня строка вида:

none /var/lxc/${MACHINENAME}/dev/shm tmpfs  defaults 0 0

где ${MACHINENAME} - имя контейнера.

Изнутри контейнера я даже не пробовал монтировать - как-то не нужно никогда было.

Я пробовал монтировать до старта контейнера.

mount:

root@myfirstcontainer:~# mount
/dev/mapper/debian--x64-srv on / type ext4 (rw,relatime,user_xattr,barrier=1,data=ordered)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
sysfs on /sys type sysfs (ro,relatime)
none on /dev/shm type tmpfs (ro,relatime)
devpts on /dev/console type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000)
devpts on /dev/tty1 type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000)
devpts on /dev/pts type devpts (rw,relatime,mode=600,ptmxmode=666)
devpts on /dev/ptmx type devpts (rw,relatime,mode=600,ptmxmode=666)

Но всё равно permission denied.

На самом деле, вся проблема в том, что в конфигурации контейнера есть строчка: lxc.cap.drop = sys_admin

Если её удалить, то запуск проходит нормально.
НО! Остановка контейнера через lxc-halt не работает (только lxc-stop) + я не до конца понимаю, что именно ограничивает sys_admin, поэтому оставил её.

П.С. Вот здесь: http://lists.debian.org/debian-live/2012/08/msg00051.html есть описание проблемы:

4. Next, if starting a container without «lxc.cap.drop = sys_admin», the
debian initscripts will mount a tmpfs on ${root}/run, which will block host
access to /run/initctl (as it is now on a file system inaccessible from outside
the container), which makes lxc-halt fail with an error message, and makes
lxc-start unable to detect a shutdown from within the container (thus
mandating a manual lxc-stop call). The only way I've found to stop that is to
disable the «mountkernfs.sh» and «mountall.sh» initscripts.

Disabling the «mountkernfs.sh» initscript necessitates adding lxc.mount.entry
lines in the lxc configuration file for proc, sys, and run/shm (and optionally
run/lock and tmp), while the removal of mountall.sh means that the
/etc/default/tmpfs size settings are not applied (should be set in the lxc
configure file instead) and unfortunately also prevents boot-time mounting of
stuff in /etc/fstab. However, static mounting is better done in the lxc
configuration file anyway, so the loss of /etc/fstab support is no big deal.

а что делает lxc-halt и чем он отличается от lxc-stop? в сквизи и прецисе lxc-halt'а вообще нет.

lxc-halt - даёт команду на корректное выключение (завершает работу initd).
lxc-stop - принудительно выключает контейнер.

Грубо говоря, lxc-stop - выдернуть шнур из розетки :)

У меня это монтирует скрипт /etc/init.d/lxc.${MACHINENAME}. Дистрибутив - Gentoo

А у вас есть lxc.cap.drop = sys_admin в конфигурации контейнера?

Мой конфиг для контейнера, если нужно:

lxc.utsname = ${MACHINENAME}
lxc.network.type = veth
lxc.network.veth.pair = veth_pm
lxc.network.flags = up
lxc.network.ipv4 = 172.xx.0.xx/24
lxc.network.name = eth0
lxc.network.link = br0
lxc.mount = /etc/lxc/${MACHINENAME}.fstab
lxc.rootfs = /var/lxc/${MACHINENAME}
lxc.tty = 1
lxc.cap.drop = sys_boot sys_module mknod mac_override

Как можешь увидеть по вышеупомянутому конфигу - нет

Хм... Ясно, спасибо. Пойду читать зачем вообще нужен sys_admin (в wheezy он по умолчанию включён).