From 2360c615b2f36775f78c62e0422f6ba90a80c9ae Mon Sep 17 00:00:00 2001
From: karim <karim@gabrielevarano.ch>
Date: Mon, 25 May 2026 23:34:28 +0200
Subject: [PATCH] Fix sysctl: unprivileged LXC kompatibel machen
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

sysctl --system schlägt in unpriv LXC wegen read-only keys aus
/usr/lib/sysctl.d/ fehl und tötet das Script durch set -e.
Stattdessen nur eigene Datei anwenden und Fehler ignorieren.
---
 setup-hugo-host.sh | 6 +++++-
 1 file changed, 5 insertions(+), 1 deletion(-)

diff --git a/setup-hugo-host.sh b/setup-hugo-host.sh
index b99b7f5..834dfa3 100755
--- a/setup-hugo-host.sh
+++ b/setup-hugo-host.sh
@@ -153,7 +153,11 @@ net.ipv6.conf.all.accept_redirects = 0
 kernel.dmesg_restrict = 1
 EOF
 
-sysctl --system >/dev/null
+# Nur unsere eigene Datei anwenden, nicht --system (Debian-Defaults setzen Keys,
+# die in einem unprivileged LXC read-only sind und set -e auslösen würden).
+# || true: in unpriv LXC ist z.B. kernel.dmesg_restrict ebenfalls read-only —
+# nicht kritisch, einfach ignorieren.
+sysctl -p /etc/sysctl.d/99-hardening.conf >/dev/null 2>&1 || true
 
 # ── 7. Nginx-Site einrichten ──────────────────────────────────────────────────