Droits sur le dossier partagé Docker (sous DSM7)

[Amsonia]

Bonjour,

Je suis sous DSM7, sur un NAS qui n'a que quelques semaines d'existence et j'ai un soucis ou au moins une incompréhension sur les droits appliqués au dossier partagé /volume1/docker.

Sur un dossier partagé que j'ai créé en tant qu'admin, je trouve une configuration normale, comme ceci. Tous mes autres dossiers partagés arborent des permissions du même type, c'est très bien.
Par défaut, les utilisateurs n'ont accès à rien et j'ouvre les accès pour le sous-groupe user>famille et l'utilisateur user>docker-cnt.

L'utilisateur docker-cnt est l'utilisateur qui exécute les containers docker.

 

 

Mais pour le dossier partagé docker j'ai quelque chose de complètement différent :

On voit la présence des groupes 'Owner' et 'Everyone' qui ont des droits respectifs de contrôle total et de lecture seule.
Résultat, le fonctionnement est au strict opposé de mes autres dossiers : par défaut tout le monde peut lire donc je dois, manuellement, refuser explicitement l'accès au sous-groupe user>famille ainsi qu'aux utilisateurs présents uniquement dans le groupe user (bluos, guest, pierre, shield)

 

Question : est-ce normal ?

J'avoue ne plus me souvenir si c'est moi qui ai créé le dossier docker ou bien le système.
Je n'ai que 3 containers : transmission ; synology_docviewer_1 ; synology_docviewer_2.
Les containers synology_docviewer_x ont été créés par le système lorsque j'ai activé le paquet "Visionneuse de documents" dans Centre de paquets.

 

 

[oracle7]

@Amsonia

Bonjour,

Je t'invite à lire le §6 du TUTO Introduction à Docker, il y est dit qu'il ne faut pas créer soi même le répertoire partagé docker mais laisser le système le créer lors de l'installation du package docker. Faute de quoi tu récoltes des problèmes tels que tu les décrits.

J'en ai fait aussi les frais lors de ma première installation de docker, croyant bien faire.

Cordialement

oracle7😉

 

 

[Amsonia]

Merci, au moins ça répond à la question de savoir si c'était moi ou le système qui a créé ce dossier !

J'imagine que la procédure est de virer tous les containers, désinstaller le paquet "visionneuse de documents", désinstaller docker, supprimer le dossier partagé "docker", éventuellement redémarrer le nas puis réinstaller le paquet docker ?

[oracle7]

@Amsonia

Bonjour,

Effectivement, ce serait une sage résolution ... Et cela ira tout de suite mieux 😆

Cordialement

oracle7😉

[Amsonia]

@oracle7ben c'est loupé !

Je viens de faire tout ce que j'ai dit et la situation est la même : il y a ce "everyone" qui peut lire => je vais devoir refuser l'accès en lecture manuellement à tout le monde ou presque.
Voici les droits sur le dossier partagé docker, tout fraichement créé par le système en installant docker en tant que dépendance du paquet "visionneuse de documents".

[oracle7]

@Amsonia

Bonjour,

Désolé, comme je suis encore sous DSM6, il va être difficile pour moi de t'aider car d'une part les interfaces sont différentes et sous DSM6 je n'ai pas ce groupe "Everyone" qui semble nouveau.

Reprends la doc en ligne, il doit bien y avoir une explication dedans.

Cordialement

oracle7😉

[Lelolo]

Je suis sous DSM 7, et je n'ai pas de groupe everyone non plus

[maxou56]

il y a 25 minutes, Lelolo a dit :

Je suis sous DSM 7, et je n'ai pas de groupe everyone non plus

En passant par File Station comme le fait @Amsonia il y a bien "everyone" et "Owner"

@oracle7 c'est pareil sous DSM6 je viens de vérifier.

Modifié le 17 juillet 2021 par maxou56

[oracle7]

@maxou56

Bonjour,

Merci pour l'info, j'étais à cent lieues d'aller voir les permissions directement avec FileStation. J'ai donc découvert une nouvelle chose avec ce groupe "Everyone". Super ! je serais un peu moins idiot ce soir ...🤪

Cordialement

oracle7😉

[.Shad.]

J'ai également la même chose, ce que je fais par contre c'est que tous mes utilisateurs ont un autre groupe que "users" et dans ce groupe, s'ils n'ont pas besoin de lire ou écrire dans le dossier docker, je leur refuse l'accès au dossier partagé.

Mais c'est un réglage par défaut très gênant je trouve, réglage que je n'ose pas remettre en question sous peine de risquer de casser quelque chose dans DSM.

[MilesTEG1]

Je viens de regarder de mon coté, et j'ai également, avec FileStation de DSM7, l'user everyone qui à accès à tout en lecture sur le dossier /volume1/docker.
Je précise que je n'ai jamais créé ce dossier, c'est Docker qui l'a fait lors de son installation sous DSM 6.2...

[.Shad.]

Ça revient au même qu'avant, car sous DSM 6 par défaut le dossier docker était en lecture seule pour tous les membres du groupe users, qui est obligatoire pour tous les utilisateurs.

[MilesTEG1]

@.Shad. Ok, je n'avais pas vérifié ça quand j'étais en DSM 6.2.x ...

De toutes manières, quand je crée un utilisateur, je valide manuellement les permissions 😉 
Pour Docker, je crée un utilisateur par service, que je place dans le groupe Docker-users qui possèdent aucun droit sur tous les partages sauf sur le dossier docker, et les dossiers des médias pour Plex.

[Amsonia]

Bon, tout cela me rassure un peu : je ne suis pas fou ! 🙂

En revanche, je ne comprends toujours pas pourquoi ce groupe système 'Everyone' fait irruption sur le dossier partagé docker uniquement et pourquoi il a des droits de lecture.

Quant à mettre tous mes utilisateurs dans des sous-groupes, j'y ai pensé, et je l'ai d'ailleurs fait avec le groupe 'famille'.
Le fait est qu'en dehors de ce groupe famille, tous mes autres utilisateurs (3 en tout) ont chacun des missions différentes, avec des droits différents que ce soit sur les dossiers ou sur les applications.
Créer un groupe -ce qui revient à du paramétrage de permissions par lot- pour ensuite re-paramétrer chaque membre de ce groupe ne m'a dès lors pas semblé très utile, voire inutilement complexe.

[.Shad.]

Si tu définis un groupe avec le maximum de droits communs entre les utilisateurs qui en font partie, ça implique que tu as très peu de réglages à faire pour les utilisateurs, à la marge seulement pour ajuster les permissions.

Cette lecture seule par défaut sur le dossier partagé docker (que ce soit via DSM 7 avec "everyone" ou via DSM 6 avec le groupe "users") est très problématique je le concède. J'avais essayé de supprimer cet accès dans le groupe users, mais évidemment vu qu'une interdiction prend le dessus sur tout le reste, même si l'utilisateur se trouve aussi dans un autre groupe qui lui assigne les permissions, ça ne fonctionne pas...

Modifié le 20 juillet 2021 par .Shad.

[Kramlech]

Je rebondi sur le sujet pour évoquer une bizarrerie que j'ai identifié il y a quelques temps à propos du répertoire docker sans trouver d'explication.

J'utilise un user qui fait partie du groupe Administrateurs. Cet user à bien les droits sur le dossier docker.

Depuis File Station, j'accède bien au dossier docker, et j'y fait ce que je veux.

Par contre, si j'accède au contenu du NAS via l'Explorer de Windows, ce répertoire n'apparait pas (et c'est le seul dans ce cas ...)

Va comprendre 😭

[.Shad.]

Tu peux vérifier que la configuration du partage samba est identique aux autres dossiers chez toi :

cat /etc/samba/smb.share.conf

Pour ma part avec mon utilisateur standard (non admin) je vois le dossier (même s'il n'y a pas accès) :

Modifié le 20 juillet 2021 par .Shad.

[Amsonia]

Ne serait-ce pas parce que cette case est cochée dans les options du dossier partagé ?

[Kramlech]

il y a 17 minutes, Amsonia a dit :

Ne serait-ce pas parce que cette case est cochée dans les options du dossier partagé ?

Mais oui, mais c'est bien sur, pourquoi n'y ai-je pas pensé !!!

En fait je sais pourquoi : je ne cache jamais aucun dossier. Ce doit être lors de l'installation de docker et la création automatique du dossier que cette cas doit être cochée par défaut !!!

Merci beaucoup @Amsonia