Docker pe Raspberry Pi

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,630
Comanda de upgrade e pentru instalare directă. Dacă e imagine pentru docker, acolo pur și simplu pui noua imagine cu aplicația actualizată și refaci containerul, setările se păstrează în folderele mapate pe host. De ce ai intra în container în consolă ca să faci upgrade așa?

În pi-hole-ul meu fără docker nu am avut probleme la nici un upgrade. Singura problemă recentă e că o bună parte din cele vreo 40 de liste nu mai sunt accesibile, și gravity update durează o veșnicie până primește timeout.
 

Marius '95

Membru Senior
Sugar daddy
Joined
Nov 13, 2005
Messages
5,207
Home Assistant in Docker cu Portainer (in LibreELEC, ca n-am decat un singur Pi si media player-ul are prioritate). Nu gasesc configuratia HA pe host. In directorul docker-ului sunt mai multe zeci de directoare care par sa fie niste overlay-uri unele au unele dintre fisierele HA, altele au alte fisiere din HA, nici unul nu le are pe toate. Interfata Portainer nu ajuta deloc. Nu gasesc nici o mapare intre container si host. La volumes e gol.
1) Cum gasesc configuratia?
2) Cum o modific astfel incat sa nu se piarda?
3) Cum fac sa trec Home Assistant pe HTTPS si sa refuze HTTP? Cu HTTPS pe portul default 8123 da o eroare, desi citesc pe net ca ar trebui sa fie acelasi port si pentru HTTPS.
Multumesc.
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,630
Ai citit în detaliu cum se folosește docker? Portainer e doar un front-end ca să nu tastezi de mână comenzile în CLI cu 25 de parametri, nu are nimic magic în plus.

Cum ai rulat HA, cu "docker run HA" sau cu încă o gârlă de parametri, inclusiv prin care să mapezi foldere din container la foldere de pe sistemul tău, unde să fie fișierele de configurație păstrate persistent? Dacă n-ai făcut nici o mapare conform instrucțiunilor HA, toate datele tale sunt temporare în container, le poți accesa doar prin consola deschisă prin docker.

Pentru punctul 3, vezi instrucțiunile HA și forumul HA.
 

Marius '95

Membru Senior
Sugar daddy
Joined
Nov 13, 2005
Messages
5,207
Pai eu aveam impresia ca ceea ce downloadez si instalez din Portainer vine "by default" cu niste setari...
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,630
ÎN container, și doar uneori. Dacă le vrei afară din container (persistente), mai citește și partea cu mapatul căilor.
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,630
Code:
http://sysctl.org/cameleon/hosts
https://adaway.org/hosts.txt
https://bitbucket.org/ethanr/dns-blacklists/raw/8575c9f96e5b4a1308f2f12394abd86d0927a4a0/bad_lists/Mandiant_APT1_Report_Appendix_D.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts;showintro=0
https://phishing.army/download/phishing_army_blocklist_extended.txt
https://ransomwaretracker.abuse.ch/downloads/CW_C2_DOMBL.txt
https://ransomwaretracker.abuse.ch/downloads/LY_C2_DOMBL.txt
https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt
https://ransomwaretracker.abuse.ch/downloads/TC_C2_DOMBL.txt
https://ransomwaretracker.abuse.ch/downloads/TL_C2_DOMBL.txt
https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt
https://raw.githubusercontent.com/StevenBlack/hosts/master/data/add.2o7Net/hosts
https://raw.githubusercontent.com/StevenBlack/hosts/master/data/add.Risk/hosts
https://raw.githubusercontent.com/StevenBlack/hosts/master/data/add.Spam/hosts
https://raw.githubusercontent.com/StevenBlack/hosts/master/data/KADhosts/hosts
https://raw.githubusercontent.com/StevenBlack/hosts/master/data/UncheckyAds/hosts
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://reddestdream.github.io/Projects/MinimalHosts/etc/MinimalHostsBlocker/minimalhosts
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
https://v.firebog.net/hosts/AdguardDNS.txt
https://v.firebog.net/hosts/Easylist.txt
https://v.firebog.net/hosts/Easyprivacy.txt
https://v.firebog.net/hosts/Prigent-Ads.txt
https://v.firebog.net/hosts/Prigent-Malware.txt
https://v.firebog.net/hosts/Prigent-Phishing.txt
https://v.firebog.net/hosts/Shalla-mal.txt
https://v.firebog.net/hosts/static/w3kbl.txt

Astea-s la mine, circa 356.000 domenii blocate. Upstream e OpenDNS care mai filtează și el malware. La un moment dat a avut probleme Amazon Fire TV și l-am trecut în grupul fără restricții, apoi și-a revenit.

[edit] Le-am sortat alfabetic că mă deranja la OCD :biggrin:
 
Last edited:

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,630
Vedeți că au fost niște modificări de securitate recente, și OS-ul (sau docker?) poate avea o limită minimă de la care un user poate deschide un port. Așa m-am trezit că pi-hole rulând în docker pe rețeaua Host nu putea folosi porturile 53, 80 și 443 sub userul pi fiindcă era limitat ca doar root să poată deschide porturi sub 1024. Workaround-ul a fost o variabilă de mediu în container să ruleze ca root, dar e riscant așa dacă ai ceva expus în internet. Echipa pi-hole a făcut un fix, momentan e doar în varianta dev.
 

Marius '95

Membru Senior
Sugar daddy
Joined
Nov 13, 2005
Messages
5,207
Ale cui au fost modificarile de securitate? Linux kernel? Si de cand au mai bagat si porcaria asta?
Intreb fiindca am un car de servicii care ruleaza non-root pe linux-uri.
 

miahi

Wizzard
Sugar daddy
Joined
Aug 1, 2004
Messages
8,518
Păi blocat binding la plebe pe privileged ports e de când e linuxul. De la docker m-aș aștepta să facă bind pe porturi interne și să facă redirect de pe porturile privilegiate (iptables and stuff au acces la porturi), poate s-a modificat ceva pe acolo.
 

Marius '95

Membru Senior
Sugar daddy
Joined
Nov 13, 2005
Messages
5,207
Pai la mine merge... Eh, in fine, bine ca n-au stricat nimic nou.
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,630
Acuma am putut căuta link-urile, hai să începem de aici:


Aparent cauza e ultima versiune de docker din 23 martie 2022:


care a schimbat metoda de moștenire a permisiunilor pentru containere pentru a rezolva vulnerabilitatea asta:


Și consecința a fost că acum containerul pi-hole nu mai primește implicit permisiunea NET_ADMIN:



Ca workaround, containerul pi-hole poate să aibă variabila DNSMASQ_USER=root sau PIHOLE_UID=0 pentru a putea funcționa corect.

Soluția finală e un nou release de imagine care să aibă explicit definită permisiunea NET_ADMIN. Un dev release a fost pus în 30 martie, apoi din 2 aprilie e disponibil ca imaginea 2022.04.2beta.

Dar problema moștenirii este valabilă pentru orice container, deci dacă sughiță vreun altul... de-aia e.

De asemenea, legat de binding pentru aplicații non-root la porturi „privilegiate” (sub 1024), iaca o discuție de acu' 13 ani:

 

Neo

The Good Doctor
Sugar daddy
Joined
Oct 16, 2005
Messages
10,493
Având în vedere că acum Raspberry Pi mk4 cu 4GB costă undeva la 200EUR pentru că scalpingul nu putea lipsi de aici, îmi place threadul ăsta ca nostalgie pentru cei care au hardware-ul dinainte de Marea Depresie Hardware începută în 2020.
 
Top Bottom