Aller au contenu

Messages recommandés

Posté(e)

Bonjour,

Suite à la recherche d'un plug'in pour homebridge, je suis tombé sur celui-ci:

https://github.com/kpostekk/homebridge-docker/issues/2

Le problème est qu'il ne fonctionne pas. Mais j'ai trouvé un post qui parle de modifier 2 fichiers de config de docker

Hi, I finally solved my problem by editing 2 files on my Docker server (Raspberry Pi).
I made the first change inside file /lib/systemd/system/docker.service change: ExecStart=/usr/bin/dockerd fd:// with ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375
and a second modification inside file /etc/init.d/docker change: DOCKER_OPTS= with DOCKER_OPTS="-H ****tcp://0.0.0.0:2375"
after that i just had to restart the docker service through these two commands:
sudo systemctl stop docker
sudo systemctl daeamon-reload
or the alternative just restart the server
sudo reboot now

J'ai beau chercher en SSH sur le nas, mais je ne trouve pas ces fichiers.

Quelqu'un aurait une idée?

Merci

Posté(e) (modifié)

@Geoff1330

Un peu de contexte serait pas mal.
Tu n'as aucune raison de vouloir exposer de façon non sécurisée Docker sur un port TCP de ta machine.
A la limite on utilise un proxy TLS (donc chiffré, avec certificat client et serveur) pour faire ça, ce que j'explicite dans le tutoriel suivant au point 5.C :

Quand on a besoin qu'un conteneur ait besoin d'accéder au socket Docker de l'hôte (ex : Portainer, Watchtower, etc...) on monte simplement le socket dans le conteneur :

/var/run/docker.sock:/var/run/docker.sock

De préférence en lecture seule si c'est juste pour récupérer l'état des autres conteneurs, images, etc... :

/var/run/docker.sock:/var/run/docker.sock:ro

Ce montage de volume ne peut pas se faire par l'interface DSM, c'est en ligne de commande uniquement ou via Docker-compose (ou Portainer).

Attention à la sécurité quand même, ce que propose l'intervenant que tu as cité est d'une négligence sécuritaire folle, ça revient à donner l'accès root à tous les périphériques du réseau local (suivant la configuration proposée par Fenrir dans son tutoriel de sécurisation), et pire, si tu as activé l'IPv6 et pas de pare-feu en amont (ce n'est normalement pas le cas), c'est le monde entier qui dispose d'un accès root sur ton socket Docker, et du coup peut avoir très facilement accès au root du NAS.

Modifié par .Shad.
Posté(e)

Merci pour ton retour éclairé @.Shad.

Je t'avoue que je ne savais pas qu'une tel modification pouvait entrainé un si gros trou de sécurité.

Je vais gentilement ne rien faire et ne pas donner suite à cette installation 🙂

Posté(e)
Il y a 1 heure, Geoff1330 a dit :

Je vais gentilement ne rien faire et ne pas donner suite à cette installation 🙂

Dans ton plugin tu es obligé de mettre une IP ? Tu ne peux pas indiquer l'emplacement d'un socket, une URL de la forme unix:// ?
Il y a sûrement moyen d'arriver à tes fins, il ne faut simplement pas procéder comme indiqué dans le lien que tu as donné. 🙂 

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.