Docker-Share verschlüsseln

Frank73

Benutzer
Mitglied seit
29. Jan 2018
Beiträge
149
Punkte für Reaktionen
5
Punkte
18
Hallo,

aktuell laufen bei mir in Dicker u. a. Vaultwarden, ecodms und acme.sh.
Der Docker-Share wurde bei der Erstinatllation des Packetes "Docker" automatisch angelegt, allerding unverschlüsselt.

Hat einer von euch diesen Docker-Share verschlüsselt und wenn Ja, läuft es problemlos oder würdert ihr von einer Verschlüsselung abraten. Konnte im Internet dazu leider nicht genaues finden.

Danke udn Gruß
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Damit die Docker-Container laufen, muss der Share eingehängt sein.
 

Frank73

Benutzer
Mitglied seit
29. Jan 2018
Beiträge
149
Punkte für Reaktionen
5
Punkte
18
Ist es nicht so, dass bei einem ausgehängten Share der Docker-Container (im speziellen vaultwarden) weiterhin uneingeschränkt genutzt werden kann, und nur die Daten aus dem Container nicht auf den Host geschrieben werden können?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nein. Der Container wird höchstwahrscheinlich crashen. Denn er kann die Daten ja nicht nur nicht schreiben, sondern auch nicht lesen.
Wenn der Ordner vor Container-Start nicht eingehängt ist, startet der Container zudem nicht (denke ich). Und wenn doch, startet er im Ursprungszustand (also resettet). Also ich würde das sein lassen. Oder du testet alles mal durch, was sich wie verhält (mit Backup vorher). Dann den Share beim Start mounten lassen und den Docker-Daemon mit einiger Verzögerung starten lassen.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ist es nicht so, dass bei einem ausgehängten Share der Docker-Container (im speziellen vaultwarden) weiterhin uneingeschränkt genutzt werden kann, und nur die Daten aus dem Container nicht auf den Host geschrieben werden können?
Du verwechselst da etwas. Wenn die App den Server nicht findet, aber die App bzw. der Server nur gesperrt ist kann die App weiter genutzt werden. Ein Austausch der Daten findet erst wieder statt, wenn der Server gefunden wird. Das gilt aber nur, wenn du beim Server angemeldet bist und die Datenbank gesperrt ist.

Sollte der Server nicht auf die Files und Datenbank zugreifen können, wird der Container abstürzen.

Trotzdem sind die Daten sicher, und zwar so, wenn du kein Tresor-Backup, das richtige Passwort oder Notfall-E-Mail eingerichtet hast, auch der Admin nicht an die Daten kommt. Der Admin kann zwar grundlegende Sachen einrichten, aber nicht auf den Tresor schauen oder verändern. Was willst du mehr?
 
  • Like
Reaktionen: theexciter

ElaCorp

Benutzer
Mitglied seit
12. Mai 2015
Beiträge
819
Punkte für Reaktionen
61
Punkte
48
Ich kann bestätigen, dass mein Docker Ordner in dem alle Docker Container reinschreiben, verschlüsselt ist und alles sehr gut funktioniert. Die Container starten dann einfach nicht. Sobald ich den Schlüssel eingebe, laufen diese wieder. Erst dann starten diese.
 

Frank73

Benutzer
Mitglied seit
29. Jan 2018
Beiträge
149
Punkte für Reaktionen
5
Punkte
18
Trotzdem sind die Daten sicher, und zwar so, wenn du kein Tresor-Backup, das richtige Passwort oder Notfall-E-Mail eingerichtet hast, auch der Admin nicht an die Daten kommt. Der Admin kann zwar grundlegende Sachen einrichten, aber nicht auf den Tresor schauen oder verändern. Was willst du mehr?
Mir geht es im Endeffekt um folgendes:

In unserer Nachbarschaft wurde in letzter Zeit eingebrochen. Ich möchte nur verhindern, dass bei Diebstahl die Täter an die in vaultwarden hinterlegten Passwörter kommen.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Kommst du noch nicht einmal als Vaultwarden-Admin ;)
Natürlich kannst du gerne testen, das zu umgehen. Wenn du magst, kannst du das Admin-PW noch hashen.
 

cupertino

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
18
Punkte für Reaktionen
1
Punkte
3
Hallo,
ich würde gerne den Ordner nachträglich verschlüsseln. Bekomme aber angehängte Fehlermeldung. habe bereits versucht alle Container zu stoppen. Leider ohne Erfolg. Möchte ungern den Container Manager samt Docker Apps neu aufsetzen. Hat vielleicht jemand einen Tipp ?
Danke
 

Anhänge

  • Bildschirmfoto 2024-10-20 um 22.47.15.png
    Bildschirmfoto 2024-10-20 um 22.47.15.png
    183,5 KB · Aufrufe: 9

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Die Verschlüsselung funktioniert nur beim Erstellen. Stoppe Docker/Container, benenne den aktuellen Ordner um, erstelle einen Neuen mit dem alten Namen und verschlüssele ihn. Danach kopierst du alles vom alten in den neuen.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
Kleiner Tip am Rande, lass den Docker Ordner unverschlüsselt, kostet nur Performance.
 
  • Like
Reaktionen: *kw*

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@synfor: mir ging es darum, dass man auf diesem Weg die Wahl für einen neuen, separaten Schlüssel hat.
 

cupertino

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
18
Punkte für Reaktionen
1
Punkte
3
Die Verschlüsselung funktioniert nur beim Erstellen. Stoppe Docker/Container, benenne den aktuellen Ordner um, erstelle einen Neuen mit dem alten Namen und verschlüssele ihn. Danach kopierst du alles vom alten in den neuen.
Danke Dir, werde es ausprobieren.

Kleiner Tip am Rande, lass den Docker Ordner unverschlüsselt, kostet nur Performance.
Habe ich auch schon gelesen. Nur möchte ich gerne mein Vaultwarden PW Tresor sowie PaperlessNGX Server verschlüsselt haben.
 

cupertino

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
18
Punkte für Reaktionen
1
Punkte
3
Umbennen geht nicht....
 

Anhänge

  • Screenshot 2024-10-21 114626.png
    Screenshot 2024-10-21 114626.png
    15,7 KB · Aufrufe: 5

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Asche auf mein Haupt, ich hatte es anders in Erinnerung (zumal es nicht mehr auf meiner DS läuft).

Du kannst jetzt natürlich Docker und die Containereinstellungen sichern, deinstallieren und alles wieder neu reinkopieren...oder lässt es aus den genannten Empfehlungen, wie es ist. ;)
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.172
Punkte für Reaktionen
1.137
Punkte
194
der PW Tresor liegt doch schon von sich aus verschlüsselt auf dem System. Warum willst das doppelt verschlüsseln?
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
Genau und wenn du unbedingt paperless verschlüsslen willst, dann nimm einen neuen Ordner, verschlüssele diesen und kopiere die paperless Daten dorthin und passe die Einstellungen im Conatiner an.
 

cupertino

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
18
Punkte für Reaktionen
1
Punkte
3
Frage ist, was passiert mit den Containern wenn ich die App deinstalliere ?
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Die Einstellungen kannst du exportieren (ggf. Pfad in der zweiten Zeile anpassen):

Code:
#!/bin/bash
BACKUP_DIR="/volume1/docker/backup"
IGNORE_CONTAINERS=(jitsi_jicofo jitsi_jvb jitsi_prosody jitsi_web synology_docviewer_2 synology_docviewer_1)
EXPORT_DATE="$(date +%Y-%m-%d_%H-%M)"

[ ! -d "${BACKUP_DIR}" ] && mkdir -p "${BACKUP_DIR}"
echo "exporting container settings to ${BACKUP_DIR}"

for container in $(docker ps --format "{{ .Names }}"); do
    if grep -q "$container" <<< "${IGNORE_CONTAINERS[@]}" ; then
        echo "${container} is on ignore list. Skipping this container."
        continue
    else
        echo "${container} export"
        /usr/syno/bin/synowebapi --exec api=SYNO.Docker.Container.Profile method=export version=1 outfile="${BACKUP_DIR}/${container}_${EXPORT_DATE}.json" name="${container}"  2> /dev/null
    fi
done
find "$backup_dir" -name "*.json" -mtime +7 -exec rm {} \;
exit

Die Volumes musst du sichern, sofern du sie nicht außerhalb Docker gebinded hast.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat