Handle LXC limitations for sysctl/auditd and clean UFW SSH rule

2026-05-10 20:30:30 +00:00
parent c7bec29f7c
commit 4f578eea52
2 changed files with 21 additions and 5 deletions
@@ -40,6 +40,11 @@ sudo ufw status
 sudo systemctl restart ssh
 ```

+## Hinweis fuer LXC
+
+In unprivilegierten LXC-Containern koennen `sysctl`-Keys und `auditd` teilweise nicht gesetzt/gestartet werden.  
+Das Skript erkennt Container und ueberspringt diese Schritte automatisch, statt mit Fehlern abzubrechen.
+
 ## Wichtige Konfigurationen

 - `config/fail2ban/jail.local`
@@ -42,6 +42,10 @@ log() {
  echo "[sicherheit-install] $*"
 }

+is_container() {
+  systemd-detect-virt --quiet --container
+}
+
 copy_cfg() {
  local src="$1"
  local dst="$2"
@@ -72,7 +76,6 @@ ufw default deny incoming || true
 ufw default allow outgoing || true
 ufw logging medium || true
 ufw allow ssh || true
-ufw allow OpenSSH || true
 ufw allow 80/tcp || true
 ufw allow 443/tcp || true
 ufw --force enable || true
@@ -83,13 +86,21 @@ sshd -t && systemctl restart ssh || true

 log "7/10 sysctl Hardening setzen"
 copy_cfg "${CONFIG_DIR}/sysctl/99-sicherheit.conf" "/etc/sysctl.d/99-sicherheit.conf"
+if is_container; then
+  log "Container erkannt: sysctl --system wird uebersprungen (teilweise read-only in LXC)"
+else
  sysctl --system || true
+fi

 log "8/10 auditd Regeln setzen"
 copy_cfg "${CONFIG_DIR}/auditd/hardening.rules" "/etc/audit/rules.d/hardening.rules"
+if is_container; then
+  log "Container erkannt: auditd service/augenrules wird uebersprungen"
+else
  augenrules --load || true
  systemctl enable auditd || true
  systemctl restart auditd || true
+fi

 log "9/10 Node.js ${NODE_MAJOR} installieren"
 if ! command -v node >/dev/null 2>&1; then