Aller au contenu

[jacobalberty / unifi-docker] comment ne pas exécuter en tant que root


Spi

Messages recommandés

Non pas du tout, car L'image Linuxserver exécute le conteneur en tant que root, les variables PUID/PGID n'ont rien à voir avec qui exécute le conteneur, c'est un mapping d'un utilisateur du conteneur vers l'hôte pour qu'il n'y ait pas de couac au niveau des permissions lors de la lecture/écriture des fichiers.

Pour changer qui exécute un conteneur, en docker cli :

--user toto

en yml :

user: toto

Ca se vérifie facilement avec l'id du conteneur :

ps aux | grep f6712af170c1b5bbfd581b9a68d91058d5307e8aa026b360b37ce3551c488058

root     2651069  0.0  0.0 712456 14284 ?        Sl   Nov07   0:30 /usr/bin/containerd-shim-runc-v2 -namespace moby -id f6712af170c1b5bbfd581b9a68d91058d5307e8aa026b360b37ce3551c488058 -address /run/containerd/containerd.sock

Voir le changement récent avec l'image de Telegraf, qui a effectivement changé l'utilisateur exécutant le conteneur (root -> telegraf)

Lien vers le commentaire
Partager sur d’autres sites

Le 22/01/2021 à 10:17, .Shad. a dit :

Tu peux passer sur l'image linuxserver/unifi-controller qui utilise les variables d'environnement PUID/PGID pour déterminer l'utilisateur qui exécute le service.

 

il y a 21 minutes, .Shad. a dit :

Non pas du tout, car L'image Linuxserver exécute le conteneur en tant que root, les variables PUID/PGID n'ont rien à voir avec qui exécute le conteneur,

Ah oui ! 

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

Je réactive ce post car depuis quelques semaines j'ai un problème avec la dernière image de linuxserveur/unifi-controller

voilà ce que donne le log dans portainer :

   Taille de tas maximale non valide: -Xmx1024MM

Erreur: impossible de créer la machine virtuelle Java.

Erreur: une exception fatale s'est produite. Le programme sortira.

Taille de tas maximale non valide: -Xmx1024MM

Erreur: impossible de créer la machine virtuelle Java.

Erreur: une exception fatale s'est produite. Le programme sortira.

etc....en boucle.

Même si j'augmente la taille allouée à la mémoire

Vous avez une solution ?

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Merci de t'intéresser à mon soucis.

Je ne pense pas que ce soit mon problème.

Comme j'avais toujours un soucis de mémoire avec "ghcr.io/linuxserver/unifi-controller:latest" même en l'augmentant, j'ai supprimé cette ligne et voilà mon log:

 

[custom-init] No custom services found, skipping...
s6-rc: info: service s6rc-oneshot-runner: starting
s6-rc: info: service s6rc-oneshot-runner successfully started
s6-rc: info: service fix-attrs: starting
s6-rc: info: service 00-legacy: starting
s6-rc: info: service fix-attrs successfully started
s6-rc: info: service legacy-cont-init: starting
cont-init: info: running /etc/cont-init.d/01-envfile
s6-rc: info: service 00-legacy successfully started
cont-init: info: /etc/cont-init.d/01-envfile exited 0
cont-init: info: running /etc/cont-init.d/01-migrations
[migrations] started
[migrations] no migrations found
cont-init: info: /etc/cont-init.d/01-migrations exited 0
cont-init: info: running /etc/cont-init.d/10-adduser
-------------------------------------
          _         ()
         | |  ___   _    __
         | | / __| | |  /  \
         | | \__ \ | | | () |
         |_| |___/ |_|  \__/
Brought to you by linuxserver.io
-------------------------------------
To support LSIO projects visit:
https://www.linuxserver.io/donate/
-------------------------------------
GID/UID
-------------------------------------
User uid:    1033
User gid:    100
-------------------------------------
cont-init: info: /etc/cont-init.d/10-adduser exited 0
cont-init: info: running /etc/cont-init.d/15-install
*** installing unifi packages ***
Selecting previously unselected package unifi.
(Reading database ... 9373 files and directories currently installed.)
Preparing to unpack /app/unifi.deb ...
Unpacking unifi (7.3.76-19582-1) ...
Setting up unifi (7.3.76-19582-1) ...
invoke-rc.d: could not determine current runlevel
invoke-rc.d: policy-rc.d denied execution of start.
cont-init: info: /etc/cont-init.d/15-install exited 0
cont-init: info: running /etc/cont-init.d/20-config
cont-init: info: /etc/cont-init.d/20-config exited 0
cont-init: info: running /etc/cont-init.d/30-keygen
cont-init: info: /etc/cont-init.d/30-keygen exited 0
cont-init: info: running /etc/cont-init.d/99-custom-files
[custom-init] No custom files found, skipping...
cont-init: info: /etc/cont-init.d/99-custom-files exited 0
s6-rc: info: service legacy-cont-init successfully started
s6-rc: info: service init-mods: starting
s6-rc: info: service init-mods successfully started
s6-rc: info: service init-mods-package-install: starting
s6-rc: info: service init-mods-package-install successfully started
s6-rc: info: service init-mods-end: starting
s6-rc: info: service init-mods-end successfully started
s6-rc: info: service init-services: starting
s6-rc: info: service init-services successfully started
s6-rc: info: service legacy-services: starting
services-up: info: copying legacy longrun unifi (no readiness notification)
s6-rc: info: service legacy-services successfully started
s6-rc: info: service 99-ci-service-check: starting
[ls.io-init] done.
s6-rc: info: service 99-ci-service-check successfully started
WARNING: An illegal reflective access operation has occurred
WARNING: Illegal reflective access by org.apache.catalina.loader.WebappClassLoaderBase (file:/usr/lib/unifi/lib/tomcat-embed-core-9.0.59.jar) to field java.io.ObjectStreamClass$Caches.localDescs
WARNING: Please consider reporting this to the maintainers of org.apache.catalina.loader.WebappClassLoaderBase
WARNING: Use --illegal-access=warn to enable warnings of further illegal reflective access operations
WARNING: All illegal access operations will be denied in a future release

 

J'obtiens le même résultat sur les deux nas. Je ne comprends pas la référence à tomcat ??

Une idée?

Lien vers le commentaire
Partager sur d’autres sites

 

Le voilà:

version: "2.1"
services:
  unifi-controller:
    image: ghcr.io/linuxserver/unifi-controller:latest
    container_name: unifi-controller

    environment:
      - PUID=1033
      - PGID=100
#      - MEM_LIMIT=1024M #optional
    volumes:
      - /volume1/docker/unifi-controller:/config
      - /etc/localtime:/etc/localtime:ro

    ports:
      - 3478:3478/udp
      - 10001:10001/udp
      - 8080:8080
      - 8443:8443
      - 1910:1910/udp #optional
      - 8843:8843 #optional
      - 8880:8880 #optional
      - 6789:6789 #optional
      - 5514:5514/udp #optional
    networks:
         unifi-controller:
#            ipv4_address: 172.23.0.2
    labels:
      - "com.centurylinklabs.watchtower.enable=true"
    restart: unless-stopped
    
networks:
    unifi-controller:
        external: true 

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Je viens de voir que dans ton lien il y avait les mêmes warnings ! C'est donc certainement le même bug....il n'y a plus qu'a attendre la parade 🙂 

 

WARNING: An illegal reflective access operation has occurred
WARNING: Illegal reflective access by org.apache.catalina.loader.WebappClassLoaderBase (file:/usr/lib/unifi/lib/tomcat-embed-core-9.0.59.jar) to field java.io.ObjectStreamClass$Caches.localDescs
WARNING: Please consider reporting this to the maintainers of org.apache.catalina.loader.WebappClassLoaderBase
WARNING: Use --illegal-access=warn to enable warnings of further illegal reflective access operations
WARNING: All illegal access operations will be denied in a future release
Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, .Shad. a dit :

il suffit de passer sur un tag plus ancien et c'est réglé

Oui mais je vais suivre l'évolution de la version 7. D'ailleurs j'ai mis ma pierre sur Github, j'espère que je n'ai pas dit de bêtise 😂

Lien vers le commentaire
Partager sur d’autres sites

Pour info  j'avais téussi à installer la version 7 (en attendant assez longtemps) malgré le warning...mais impossible d'adopter le borne. 

Voir aussi ce post sur une  l'image jacobalberty  https://github.com/jacobalberty/unifi-docker/issues/615

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...
Il y a 1 heure, firlin a dit :

le problème est toujours d'actualité ?

Je crois que je suis resté en version 6.5.55. Mon nas est en train de redémarrer je te confirme dès qu'il a terminé.

Edit Oui toujours 6.5.55 et je n'y ai pas touché depuis mon dernier post.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Ok @Jeff777
donc je je repends ton docker compose
 

Citation

version: "2.1"
services:
  unifi-controller:
    image: ghcr.io/linuxserver/unifi-controller:6.5.55
    container_name: unifi-controller

    environment:
      - PUID=1033
      - PGID=100
#      - MEM_LIMIT=1024M #optional
    volumes:
      - /volume1/docker/unifi-controller:/config
      - /etc/localtime:/etc/localtime:ro

    ports:
      - 3478:3478/udp
      - 10001:10001/udp
      - 8080:8080
      - 8443:8443
      - 1910:1910/udp #optional
      - 8843:8843 #optional
      - 8880:8880 #optional
      - 6789:6789 #optional
      - 5514:5514/udp #optional
    networks:
         unifi-controller:
#            ipv4_address: 172.23.0.2
    labels:
      - "com.centurylinklabs.watchtower.enable=true"
    restart: unless-stopped
    
networks:
    unifi-controller:
        external: true 

que je remplace lasted par 6.6.55 (en rouge je suis bon )

J'y ai accès avec l'adress ip du nas : 8843 ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.