Docker

Je cherchais depuis un moment comment remonter les informations S.M.A.R.T de mes disques. Voilà c'est chose faite, Scrutiny est pas mal intéressant. Ils proposent plusieurs fonctionnalités, comme une interface graphique avec une historisation de toutes les valeurs S.M.A.R.T de vos disques et il s'installe via docker.

En cliquant sur les trois points sur chaque disque, on tombe sur un bue un peu plus détaillé :

Que l'on peut encore étendre :

Donc pour installer scrutiny, j'ai suivi le docker-compose donné sur le projet github :

services:
  scrutiny:
    container_name: scrutiny
    network_mode: bridge
    image: ghcr.io/analogj/scrutiny:master-omnibus
    cap_add:
      - SYS_RAWIO
      - SYS_ADMIN
    ports:
      - 8081:8080 # webapp
      #- 8086:8086 # influxDB admin
    volumes:
      - /run/udev:/run/udev:ro
      - host:/opt/scrutiny/config
      #- host:/opt/scrutiny/influxdb
    environment:
      - PUID=1001
      - PGID=1001
      - TZ=Europe/Paris
    devices:
      - /dev/nvme0
      - /dev/sda
      - /dev/sdb
      - /dev/sdc
      - /dev/sdd
      - /dev/sde
      - /dev/sdf
    restart: unless-stopped

Deux/trois informations pour mieux comprendre :

• J'ai forcé le network pour le bridge, parce que par défaut il se créé son propre réseau en mode bridge, lui aussi.
• Si vous avez des disques nvme, il faut ajouter SYS_ADMIN dans le cap_add sinon le container ne peux pas les voir.
• J'ai mis en commentaire l'accès au dashboard de l'influxdb.
• Comme je le fais tous le temps, j'ai expliciter mes variables d'environement comme les PUID et le PGID.
• Ensuite vient la liste des devices, ici il faut y inscrire tous les disques que vous souhaitez surveiller.
• Et pour finir la ligne du restart.

Bref Scrutiny est très cool pour qui recherche une interface graphique pour de la surveillance de disques via un conteneur docker.

Merci au site Cachem de m'avoir fait découvrir ce conteneur 😁

Si comme moi vous avez installé et configuré vos premier containers/stacks sur Portainer, très vite vous allez ressentir le besoin d'avoir un check automatique des mises à jour des images et surtout la mise à jour de Portainer automatiquement depuis l'application (fini de se farcir les trois lignes de code à exécuter), NE DITES RIEN... nous passons tous par là. 😉 Et puis c'est quand même une version commercial en échange de quelques informations personnelles, rien de bien grave, non ??

Bref, on va sur cette page et on prend bien soin de remplir les champs avec des informations bidons certes mais avec une adresse mail dont vous avez l'accès, ça serait dommage de ne pas recevoir sa clef.

Une fois votre clef dans le presse-papier, on se connecte à Portainer et on va dans le menu Licences

Puis deuxième blocs à droite de la fenêtre Add Licences

Vous entrez votre clef dans le champ et on valide. Bravo vous êtes en version commercial, 3 nœuds et Portainer se mettra à jour depuis l'interface, c'est pas beau tout ça ??

Oui je sais là il ne propose pas de mise à jour ;)

Pour vous achevez dans votre hésitation d'obtenir ou non une version commercial voici la page de comparaison.

AH ! Et pour finir et parce que ça ne dure qu'un an, vous pouvez renouveler votre licence depuis cette page, ça nécessite d'avoir toujours accès au mail, mais le principe est le même.

EDIT: Bon en fait pour faire fonctionner le serveur DLNA avec la box TV d'Orange et plus généralement plex avec les applications android, il faut configurer le network mode à host et indiquer à swag l'ip pour accéder au conteneur plex, dans mon cas l'ip du serveur NAS.

En suivant les recommandations de l'ANSSI sur la sécurisation des conteneurs Docker, j'ai modifié le "réseau" du conteneur plex, il est maintenant connecté seulement au réseau du conteneur swag, le reverse proxy.

Donc dans le docker compose, j'ai simplement modifier cette ligne :

network_mode: swag_default

De cette manière seul le conteneur swag à connaissance du conteneur plex, donc j'espère ne pas dire de bêtise en disant que la surface d'attaque est réduite.

Si on consulte le manuel de l'ANSSI sur la sécurité docker, il y ait écrit :

Un utilisateur spécifique et un mot de passe fort tu utilisera ... Si si j'vous jure c'est écrit comme ça ... ;D

Pour mes containers, j'utilise Docker et je les administres via Portainer pour avoir une interface graphique et créer plus simplement des docker compose.

Donc deux methodes, l'une via le terminal, la seconde via votre interface d'administration docker (ici Portainer)

Via le terminal

Je vais prendre l'exemple du conteneur Portainer dont on ne peut pas mettre à jour en mode graphique (si vous n'avez pas la version ee) :

On récupère en premier lieu la dernière image :

docker pull portainer/portainer-ce:latest

Puis on stop et supprime le conteneur :

docker stop portainer && docker rm portainer

On relance le conteneur :

docker run -d -p 8000:8000 -p 9443:9443 --name portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v /tank/docker-appdata/portainer_data:/data portainer/portainer-ce:latest

Via Portainer

Une fois connecter à votre Portainer, aller sur Containers :

Choisissez votre conteneur (ici Plex) et cliquer sur le bouton Recreate :

Demander à re-pull l'image puis cliquer sur Recreate :

à partir d'ici Portainer va stop le conteneur, le supprimer, télécharger l'image et le relancer, incroyable, comme via le terminal 😁

Bravo vous avez mis à jour un conteneur via Portainer. N'oubliez pas de supprimer les images non utilisées après quelques jours 😉.