Hallo, Seit einem Mailcow und Debian9 Update startet mein netfilter-mailcow Docker Image nicht mehr. Ich erhalte folgende Fehlermeldung: ERROR: for netfilter-mailcow Cannot start service netfilter-mailcow: OCI runtime create failed: container_linux.go:370: starting container process caused: process_linux.go:459: container init caused: process_linux.go:422: setting cgroup config for procHooks process caused: resulting devices cgroup doesn't match target mode: unknown Die restlichen Docker Images funktionieren problemlos. Was kann diesen Fehler beheben, damit ich auch die netfilter wieder starten kann. Danke für eure Hilfe und Rückmeldungen Gruß Maverickralf

@"mailme"#1872 ja, ich mittlerweile auch, es komt im detail darauf an, *welchen* VPS man hat. es gibt solche mit Docker unterstützung und solche ohne 😬

Hallo, Kannst du uns mal dein Serverspecs sagen? Was wichtig ist ob es evtl virtualisiert oder nicht ist, falls ja wie (KVM/LXC usw)

Hallo MAGIG, Ja, es handelt sich um einen vServer von Strato. Ich kann leider nur sagen welche Art von Virtualisierung Strato nutzt. Danke für die Hilfe. Gruß Maverickralf

netfilter-mailcow Docker Image startet nicht

MAGIC

Hallo

Anscheinend gibt es ein paar Probleme mir Docker 20.04 und Virtuozzo, das Beste wäre es eh auf KVM zu wechseln

diekuh

Da hat er Recht.

maverickralf

Hallo,
Danke für die Rückmeldung. Leider sehe ich derzeit keine Möglichkeit meinen Serveranbieter zu wechseln. Da muss ich wohl warten, bis die Kombi Virtuozzo und Docker bei dem netfilter container wieder funktioniert.
Gruß
maverickralf

omexlu

Gehört hier vielleicht nicht rein aber was nutzt hetzner als virtualisierung? 🙈

MAGIC

omexlu KVM

bjo

Ich habe genau dasselbe Problem, bei einem anderen Anbieter. Vielleicht hilft hier ein Downgrade der Version? Ich meine, mit der vorherigen docker-ce hat es alles funktioniert…

MAGIC

Ja kann helfen, aber dann benutzt du Software die veraltet ist. Sowas und mit einem Service der im Internet läuft würde ich nicht bevorzugen zu machen

diekuh

🙁 Schau sonst auch mal in die moby Issues, ob es eventuell schon Progress gibt. 🙂

coro1404

auf einem Strato V-Server konnte ich mit folgendem Downgrade das Problem lösen:
sudo apt-get install --reinstall docker-ce=5:18.09.9~3-0~ubuntu-bionic docker-ce-cli=5:18.09.9~3-0~ubuntu-bionic docker-ce-rootless-extras containerd.io=1.3.9-1
Danach konnte der netfilter Container wieder starten - man könnte die Versionen jetzt pinnen ich warte aber mal ob sich was tut.
Der Netfilter Container ist ja letztlich nur ein Script was läuft - wie könnte ich das denn im debug ausführen sodass man findet wo man weitersuchen muß?

maverickralf

coro1404 funktioniert der Befehl auch wenn ich Debian 9 auf dem V-Server habe? Oder muss ich den Befehl anpassen?

Venominuz

coro1404 Bei mir trat gestern nach nem Upgrade von docker-ce und mailcow auf meinem Strato VPS das gleiche auf, bei mir lags/liegts am „privilegierten Modus“, in der docker-compose.yml ist privileged=true für den netfilter service und den ipv6 service gesetzt, wenn man das abändert auf false können die Container erstellt werden, crashen aber im loop weil sie keine Berechtigungen haben (stdout und stderr des Containers geben Fehler mit „Permission denied“) habe dann mit docker run --privileged hello-world getestet und kriege den gleichen Fehler, da scheint was bei der elevation der Container schief zu gehen, kannst du das bei dir auch nachvollziehen bzw. ist das hilfreich?

flori-it

Habe das gleiche Problem bei einem anderen Hoster. Denke auch zur Zeit über ein Downgrade von Docker nach…

coro1404

maverickralf

der passt nur für einen Ubuntu VServer, richtig - für andere DIstributionen musst du erst den Paketnamen und die Version rausfinden, normalerweise via:

apt-cache policy containerd.io containerd.io: Installiert: 1.3.9-1 Installationskandidat: 1.4.3-1 Versionstabelle: 1.4.3-1 500 500 https://download.docker.com/linux/ubuntu bionic/stable amd64 Packages *** 1.3.9-1 500 500 https://download.docker.com/linux/ubuntu bionic/stable amd64 Packages 100 /var/lib/dpkg/status 1.3.7-1 500 500 https://download.docker.com/linux/ubuntu bionic/stable amd64 Packages

Die Version schreibst Du dann wie im Beispiel hinter das “=” für die zu installierende Version. Die drei Sterne (“***”) zeigen die aktuell installierte Version des Paketes an.

maverickralf

coro1404
Ja, ich konnte mit der angepassten Befehlszeile ein Downgrade durchführen. Seitdem startet mein Netfilter Container auch wieder.
Danke für die Hilfe!

maverickralf

Hallo,
ich konnte die den netfilter Container erfolgreich mit der aktuellen Version starten. Ich habe in der docker-compose.yml die Zeile privileged=true aus kommentiert. Danach ist der netfilter container ohne jede Fehlermeldung gestartet. Er ist auch in der Containerübersicht grün und die Logs werden auch geschrieben.
Entsteht mir durch das fehlen des privileged=true ein Sicherheitsproblem?
Gruß
maverickralf

MaiklBerlin

Hallo, wenn Du Dir nun docker ps anschaust wirst Du sehen, dass zwei Container (netfilter und ipv6nat-mailcow) (das privileged=true ist bei beiden gesetzt), regelmäßig abstürzen und neu gestartet werden.

Dies kommt eben durch die fehlenden Privilegien. Wenn Du kein IPv6 hast, ist mutmaßlich der dazugehörige Container egal. Beim netfilter-Container ist es insoweit problematisch, dass das integrierte Fail2Ban keine Firewall-Regeln setzen kann. Damit ist das Fail2Ban wirkungslos. Also ein kein “richtiges” Sicherheitsproblem, aber BruteForce-Angriffe etc. werden eben nicht sauber weggefiltert / gestoppt.
Das ganze ist ein Problem im Bereich von Virtuozzo, mutmaßlich da V-Server selber ja auch nur Container sind und intern das Handling schwieriger ist. Das Thema ist aber bei Virtuozzo schon adressiert. Vielleicht können sie dazu demnächst ein “Improvement” liefern.

Bei KVM geht es natürlich problemlos, wie auf einem physikalischen Server, da dort der uneingeschränkte Kernel-Zugriff gegeben ist.

Viele Grüße

maverickralf

MaiklBerlin Danke für deine Rückmeldung. Das mit den immer wieder startenden Containern hatte ich auch bemerkt und entsprechend wieder den privilegierten Modus aktiviert. Jetzt starten die Container halt nicht mehr.
Gibt es die Möglichkeit, dass netfilter Packet direkt auf dem Host System zu starten? Am Ende ist das doch “nur” ein Python Skript, dass in dem Container läuft. Das könnte doch auch direkt auf dem Host System laufen. Oder gibt es hier Einschränkungen?
Gruß Maverickralf

MaiklBerlin

Hallo,

Virtuozzo wird das Problem mit dem “privlilged” lösen, das ist nun bei denen in der Entwicklung. In der Zwischenzeit wäre der Workaround eine Docker-version unter 20 und containerd unter 1.4 zu nehmen. Damit fuktioniert es dann (klassisches Downgrade) bis Virtuozzo das gefixt hat. Ich gehe davon aus, dass der permanente Fix bis Sommer brauchen wird (unverbindlich). Bis dahin mit “älteren” Versionen von Docker und containerd.

Viele Grüße

maverickralf

MaiklBerlin Danke für die Rückmeldung. Ich hatte leider nur die Erfahrung gemacht, dass nach dem Downgrade das Backup Skript nicht mehr zuverlässig funktioniert, da es im Backupprozess zu massiven SQL Fehlern gekommen ist. Das automatisierte Backup ist dann praktisch nicht mehr nutzbar.
Ist das bereits jemand anderem anderem auch aufgefallen? Gibt es hierfür eine Lösung?
Gruß Maverickralf

MaiklBerlin

maverickralf
Hallo,

was für ein Problem hast Du denn mit dem Backup Skript ? Die Version von Docker und containerd sollte keine Auswirkung auf diese Skripte haben.
Eine konkreter Fehler wäre toll

Gruß
MaiklBerlin

maverickralf

MaiklBerlin
Hallo,
Ich hatte bisher immer SQL Zugriffsfehler bei dem Backup der SQL Instanz von Mailcow.
Egal, ich habe das Downgrade auf die Dockerversion <20 und containerd <1.4 gestern Abend durchgeführt. Das erste automatische Backup ist durchgelaufen. Wenn ich den Fehler wieder habe, dann melde ich mich mit dem Fehlerprotokoll.
Danke für die Unterstützung!
Gruß Maverickralf