Docker-Share verschlüsseln

[Frank73]

Hallo,

aktuell laufen bei mir in Dicker u. a. Vaultwarden, ecodms und acme.sh.
Der Docker-Share wurde bei der Erstinatllation des Packetes "Docker" automatisch angelegt, allerding unverschlüsselt.

Hat einer von euch diesen Docker-Share verschlüsselt und wenn Ja, läuft es problemlos oder würdert ihr von einer Verschlüsselung abraten. Konnte im Internet dazu leider nicht genaues finden.

Danke udn Gruß

 

[plang.pl]

Damit die Docker-Container laufen, muss der Share eingehängt sein.

 

[Frank73]

Ist es nicht so, dass bei einem ausgehängten Share der Docker-Container (im speziellen vaultwarden) weiterhin uneingeschränkt genutzt werden kann, und nur die Daten aus dem Container nicht auf den Host geschrieben werden können?

 

[plang.pl]

Nein. Der Container wird höchstwahrscheinlich crashen. Denn er kann die Daten ja nicht nur nicht schreiben, sondern auch nicht lesen.
Wenn der Ordner vor Container-Start nicht eingehängt ist, startet der Container zudem nicht (denke ich). Und wenn doch, startet er im Ursprungszustand (also resettet). Also ich würde das sein lassen. Oder du testet alles mal durch, was sich wie verhält (mit Backup vorher). Dann den Share beim Start mounten lassen und den Docker-Daemon mit einiger Verzögerung starten lassen.

 

[EDvonSchleck]

Ist es nicht so, dass bei einem ausgehängten Share der Docker-Container (im speziellen vaultwarden) weiterhin uneingeschränkt genutzt werden kann, und nur die Daten aus dem Container nicht auf den Host geschrieben werden können?

Du verwechselst da etwas. Wenn die App den Server nicht findet, aber die App bzw. der Server nur gesperrt ist kann die App weiter genutzt werden. Ein Austausch der Daten findet erst wieder statt, wenn der Server gefunden wird. Das gilt aber nur, wenn du beim Server angemeldet bist und die Datenbank gesperrt ist.

Sollte der Server nicht auf die Files und Datenbank zugreifen können, wird der Container abstürzen.

Trotzdem sind die Daten sicher, und zwar so, wenn du kein Tresor-Backup, das richtige Passwort oder Notfall-E-Mail eingerichtet hast, auch der Admin nicht an die Daten kommt. Der Admin kann zwar grundlegende Sachen einrichten, aber nicht auf den Tresor schauen oder verändern. Was willst du mehr?

 

[ElaCorp]

Ich kann bestätigen, dass mein Docker Ordner in dem alle Docker Container reinschreiben, verschlüsselt ist und alles sehr gut funktioniert. Die Container starten dann einfach nicht. Sobald ich den Schlüssel eingebe, laufen diese wieder. Erst dann starten diese.

 

[Frank73]

Trotzdem sind die Daten sicher, und zwar so, wenn du kein Tresor-Backup, das richtige Passwort oder Notfall-E-Mail eingerichtet hast, auch der Admin nicht an die Daten kommt. Der Admin kann zwar grundlegende Sachen einrichten, aber nicht auf den Tresor schauen oder verändern. Was willst du mehr?

Mir geht es im Endeffekt um folgendes:

In unserer Nachbarschaft wurde in letzter Zeit eingebrochen. Ich möchte nur verhindern, dass bei Diebstahl die Täter an die in vaultwarden hinterlegten Passwörter kommen.

 

[EDvonSchleck]

Kommst du noch nicht einmal als Vaultwarden-Admin
Natürlich kannst du gerne testen, das zu umgehen. Wenn du magst, kannst du das Admin-PW noch hashen.

 

[cupertino]

Hallo,
ich würde gerne den Ordner nachträglich verschlüsseln. Bekomme aber angehängte Fehlermeldung. habe bereits versucht alle Container zu stoppen. Leider ohne Erfolg. Möchte ungern den Container Manager samt Docker Apps neu aufsetzen. Hat vielleicht jemand einen Tipp ?
Danke

 

[*kw*]

Die Verschlüsselung funktioniert nur beim Erstellen. Stoppe Docker/Container, benenne den aktuellen Ordner um, erstelle einen Neuen mit dem alten Namen und verschlüssele ihn. Danach kopierst du alles vom alten in den neuen.

 

[synfor]

Falsch, freigegebene Ordner lassen sich auch nachträglich verschlüsseln bzw. die Verschlüsselung wieder entfernen.

Einen vorhandenen gemeinsamen Ordner verschlüsseln

 

[ctrlaltdelete]

Kleiner Tip am Rande, lass den Docker Ordner unverschlüsselt, kostet nur Performance.

 

[*kw*]

@synfor: mir ging es darum, dass man auf diesem Weg die Wahl für einen neuen, separaten Schlüssel hat.

 

[cupertino]

Die Verschlüsselung funktioniert nur beim Erstellen. Stoppe Docker/Container, benenne den aktuellen Ordner um, erstelle einen Neuen mit dem alten Namen und verschlüssele ihn. Danach kopierst du alles vom alten in den neuen.

Danke Dir, werde es ausprobieren.

Kleiner Tip am Rande, lass den Docker Ordner unverschlüsselt, kostet nur Performance.

Habe ich auch schon gelesen. Nur möchte ich gerne mein Vaultwarden PW Tresor sowie PaperlessNGX Server verschlüsselt haben.

 

[cupertino]

Umbennen geht nicht....

 

[*kw*]

Asche auf mein Haupt, ich hatte es anders in Erinnerung (zumal es nicht mehr auf meiner DS läuft).

Du kannst jetzt natürlich Docker und die Containereinstellungen sichern, deinstallieren und alles wieder neu reinkopieren...oder lässt es aus den genannten Empfehlungen, wie es ist.

 

[metalworker]

der PW Tresor liegt doch schon von sich aus verschlüsselt auf dem System. Warum willst das doppelt verschlüsseln?

 

[ctrlaltdelete]

Genau und wenn du unbedingt paperless verschlüsslen willst, dann nimm einen neuen Ordner, verschlüssele diesen und kopiere die paperless Daten dorthin und passe die Einstellungen im Conatiner an.

 

[cupertino]

Frage ist, was passiert mit den Containern wenn ich die App deinstalliere ?

 

[*kw*]

Die Einstellungen kannst du exportieren (ggf. Pfad in der zweiten Zeile anpassen):

#!/bin/bash
BACKUP_DIR="/volume1/docker/backup"
IGNORE_CONTAINERS=(jitsi_jicofo jitsi_jvb jitsi_prosody jitsi_web synology_docviewer_2 synology_docviewer_1)
EXPORT_DATE="$(date +%Y-%m-%d_%H-%M)"

[ ! -d "${BACKUP_DIR}" ] && mkdir -p "${BACKUP_DIR}"
echo "exporting container settings to ${BACKUP_DIR}"

for container in $(docker ps --format "{{ .Names }}"); do
    if grep -q "$container" <<< "${IGNORE_CONTAINERS[@]}" ; then
        echo "${container} is on ignore list. Skipping this container."
        continue
    else
        echo "${container} export"
        /usr/syno/bin/synowebapi --exec api=SYNO.Docker.Container.Profile method=export version=1 outfile="${BACKUP_DIR}/${container}_${EXPORT_DATE}.json" name="${container}"  2> /dev/null
    fi
done
find "$backup_dir" -name "*.json" -mtime +7 -exec rm {} \;
exit

Die Volumes musst du sichern, sofern du sie nicht außerhalb Docker gebinded hast.