QNAP [ContainerStation] les ACL du qnap "fuitent" dans les containers

ech1965

Apprenti
16 Janvier 2016
73
0
6
Bonsoir,

J'ai passé des heures à essayer de comprendre pourquoi mon container sickrage n'arrivait pas à contacter "internet".. et voici je que j'ai trouvé.

Contexte:

J'utilise les dockers venant de "linuxserver.io" . Ils ont la particularité bien pratique de rendre configurable le userid/groupid sous lequel le processus qui se trouve dans le container tourne.

J'ai activé les permissions étendues dans le nas ( les ACL posix en fai)

Soucis

Lorsque les acl sont activés, les fichiers créés par Docker dans le container en fonction des paramètres réseau ( /etc/resolv.conf, /etc/hosts, /etc/hostname ) sont affublés d'ACL qui les rendent illisibles par des processus "non-root" dans le container.

En ayant un /etc/resolv.conf illisible, il ne faut pas s'étonner que sickrage ait des soucis à contacter tbdb...

Si je désactive les acl, alors tout retombe en marche et mon sickrage a de nouveau accès à Internet.

J'ai trouvé quelques références à des cas similaires sur le forum qnap mais personne n'a "trouvé" une solution acceptable.

J'ai ouvert un ticker chez qnap, on verra ce qu'il en adviendra. ( mais en belgique, c'est qnap benelux qui s'en occupe...pas QoolBox )

quelqu'un aurait-il une solution ( ou une référence vers un bug docker qui se produirait ailleurs que dans container station qnap ?)
Merci et bonne soirée
Etienne
 
Merci pour la réponse

J'ai eu une réponse d'un certain Faraz Malik qui va essayer de reproduire le problème grâce aux instructions que je lui ai fournies.
Suite au prochain épisode ...
Etienne
 
QoolBox a dit:
Malik c'est un bon ;)
Merci pour les encouragements...

p'tite question pour Qoolbos qui a l'air de le connaître...Dans "Faraz Malik", c'est quoi le nom de famille et quoi le prénom ?
Que je puisse m'adresser à lui "dans le bon sens" ?

Merci !!
Etienne
 
Bon,

Petite mise à jour,

Pour QNAP, c'est rangé dans les "features requests" y compris tenter de mieux communiquer sur le fait que si on lance des containers dont les processes ne tournent pas sous root et que les ACL sont activés, ça fait déconner le contenu du container.

BAV
 
@ ech1965

Moi j'ouvre tjrs mes tickets en France, même si je ne suis pas basé là-bas, ainsi je tombe sur Qoolbox :-)

(Ehmm, moi je n'ai rien dit) :-)

Sent from my A0001 using Tapatalk