Fix sysctl: unprivileged LXC kompatibel machen

sysctl --system schlägt in unpriv LXC wegen read-only keys aus /usr/lib/sysctl.d/ fehl und tötet das Script durch set -e. Stattdessen nur eigene Datei anwenden und Fehler ignorieren.
2026-05-25 23:34:28 +02:00
parent b3b3e740d3
commit 2360c615b2
1 changed files with 5 additions and 1 deletions
@@ -153,7 +153,11 @@ net.ipv6.conf.all.accept_redirects = 0
 kernel.dmesg_restrict = 1
 EOF

-sysctl --system >/dev/null
+# Nur unsere eigene Datei anwenden, nicht --system (Debian-Defaults setzen Keys,
+# die in einem unprivileged LXC read-only sind und set -e auslösen würden).
+# || true: in unpriv LXC ist z.B. kernel.dmesg_restrict ebenfalls read-only —
+# nicht kritisch, einfach ignorieren.
+sysctl -p /etc/sysctl.d/99-hardening.conf >/dev/null 2>&1 || true

 # ── 7. Nginx-Site einrichten ──────────────────────────────────────────────────