Bonjour à tous,
Je vais bientôt migrer vers une VM pour Jeedom.
Je souhaite séparer les services (z2m, zwave js ui et Mqtt) les conteneurs LXC ( créés avec les scripts de tteck) sont prêts ainsi que la VM pour Jeedom (Debian 11.8, core 4.3.20).
J’ai une question concernant les CT quelle est la différence entre privileged et unprivileged?
Je les ai mis privileged, est ce que cela a une influence sur la gestion des ports usb? que faut-il mettre.
Merci de votre aide
Anthony
Hello,
En privileged l’utilisateur root du conteneur est celui de l’hôte.
Si jamais le root du conteneur est compromis, l’attaquant aura des droits sur l’hôte.
Je ne pense pas qu’il y ai un impact pour les ports USB.
Il faut mieux utiliser unprivileged donc et voir si tout va bien.
Ah d’accord je comprends mieux merci Bison.
Anthony
Bonjour
A essayer en unprivileged mais il me semble que j’ai eu des problèmes, les scripts de tteck les positionne en privileged.
Au final pour éviter d’être en unprivileged, j’ai installé Zwavejs Ui et zigbee2mqtt dans une VM sous docker
Salut,
Comme l’a souligné @Bison il faut vraiment éviter de mettre en place des conteneurs privilégiés (j’en remet une couche).
Il est tout à fait possible d’utiliser des conteneurs non privilégiés cependant ça nécessite des configurations supplémentaires pour partager des éléments nécessaires avec l’hôte.
Par exemple keyctl pour pouvoir utiliser docker dans le conteneur, le mappage des périphériques USB ou encore le mappage des interfaces réseau.