Toggle sidebar

Sicherheit Docker TVHeadend Freigabe

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
T

tdse

Benutzer
Registriert
27. März 2018
Beiträge
63
Reaktionspunkte
2
Punkte
8
An Standort 1 läuft TVHeadend in Docker auf einer DS 918+. An Standort 2 möchte ich TV schauen. Die VPN Geschwindigkeit der beiden Fritzboxen reicht nicht für ruckelfreies TV. Ich könnte den Zugriff auf TVHeadend freigeben und dann ohne Probleme am 2. Standort TV schauen. Nur wie sicher ist das? TVHeadend ist passwortgeschützt, aber Docker läuft alsroot bzw. mit Adminrechten.
 
Der Conainer läuft im priviled mode?

Es ist Konsens in der Container community, dass Container im privileged mode schwach isoliert vom Host laufen und ein Ausbruch nicht verhinderbar ist. Es soll nicht heissen das es einfach wäre auszubrechen... man muss immer noch einen Exploit für die Anwendung kennen und anwenden um das hinzubekommen.

Falls der Container ohne privilged mode verwendet wird, ist es vernachlässigbar wenn die Prozesse im Container als root laufen. Namespaces und CGroups beschneiden den "container root", so dass er keinen Schaden anrichten kann. Noch besser ist, wenn der TVHeadend-Prozess im Container als nicht privigiertes Benutzer gestartet wird...
 
Zuletzt bearbeitet:
Danke für die Antwort. Was heißt das nun für mich? Ich verwende das Docker image von linuxserer.io. Ich glaube nicht, daß es im privilged mode ausgeführt wird. (oder anders gefragt: wie kann ich es herasufinden?) Und wie kann ich den Container als nicht privigierter Benutzer starten. Ich ging bisher davon aus, daß nur admins Docker verwenden können.
 
Hat damit überhaupt nichts zu tun. Docker Docker Dienst läuft IMMER als root. Die Docker-Cli kann von Haus aus nur von root oder Benutzern der Gruppe Docker verwendet werden.

Ein privileged Container ist einer, den man auf der shell mit --privleged abgelegt hat oder in der UI mit "Container mit hoher Prioriät ausführen" angelegt bzw. später hinzugefügt hat.

Container beenden, dann auf bearbeiten. Dann sieht man ob der Haken angehakt ist oder nicht.
 
Vielen Dank für die Erklärung. Das Stichwort war für mich "Container mit hoher Prioriät ausführen". Habe nachgeschaut und der TVHeadend Container läuft ganz normal ohne privilged mode. Das Restrisiko ist dann nicht der Container sondern der offene port. Aber das ist ein anderes Thema.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten