Add caddy-autogen app, tests, and agent policy updates
This commit is contained in:
Joachim Friberg
@@ -0,0 +1,72 @@
|
||||
# Steam Headless
|
||||
|
||||
Steam Headless kör en webbaserad Linux-desktop med Steam i container, baserat på LinuxServer image `lscr.io/linuxserver/steam`.
|
||||
|
||||
## Syfte
|
||||
|
||||
- Ge enkel Steam-access via webbläsare i ZimaOS.
|
||||
- Hålla v1 med minsta möjliga privilegier.
|
||||
- Förbereda en separat senare fas för Moonlight-fokuserad streaming.
|
||||
|
||||
## Portar
|
||||
|
||||
- `3000/tcp` (HTTP desktop): `${STEAM_HTTP_PORT:-3000}`
|
||||
- `3001/tcp` (HTTPS desktop): `${STEAM_HTTPS_PORT:-3001}`
|
||||
|
||||
## Volymer
|
||||
|
||||
- `/DATA/AppData/$AppID/config -> /config`
|
||||
|
||||
All Steam-data (profil, cache, installerade spel) lagras under appens egna AppData-sökväg.
|
||||
|
||||
## Privilegier och säkerhet
|
||||
|
||||
Aktiva säkerhetsinställningar i denna app:
|
||||
|
||||
- `security_opt: ["seccomp:unconfined", "no-new-privileges:true"]`
|
||||
- `cap_drop: ["ALL"]`
|
||||
- Ingen `privileged: true`
|
||||
- Ingen `network_mode: host`
|
||||
- Ingen mount av `/var/run/docker.sock`
|
||||
|
||||
Motivering:
|
||||
|
||||
- LinuxServer Steam använder sandbox/bubblewrap-mönster som normalt kräver `seccomp:unconfined` för att spel/launcher ska fungera stabilt.
|
||||
- `no-new-privileges:true` och `cap_drop: ["ALL"]` används för att kompensera med lägsta möjliga capability-yta i övrigt.
|
||||
|
||||
Kända tradeoffs:
|
||||
|
||||
- På vissa Debian/Ubuntu-hostar kan även `apparmor:unconfined` behövas. Detta är inte default här av least-privilege-skäl.
|
||||
- Browser-vägen (KasmVNC) är enkel men ger inte samma latens/gamepad-egenskaper som Moonlight.
|
||||
|
||||
## Säkerhetsavvikelser
|
||||
|
||||
Denna app använder en avvikelse från strikt seccomp-default:
|
||||
|
||||
- `seccomp:unconfined`
|
||||
|
||||
Varför det behövs:
|
||||
|
||||
- För kompatibilitet med LinuxServer Steam runtime och dess sandboxade processer.
|
||||
|
||||
Alternativ som utvärderats:
|
||||
|
||||
- Standard seccomp-profil: blockar delar av förväntad processmodell för Steam/spel.
|
||||
- Full `privileged: true`: avvisat på grund av större attackyta.
|
||||
|
||||
Risker:
|
||||
|
||||
- Minskad syscall-filtrering jämfört med default seccomp-profil.
|
||||
- Om container komprometteras finns större möjlighet att anropa kernel-funktioner än med strikt seccomp.
|
||||
|
||||
Riskreducering:
|
||||
|
||||
- Inga host-network eller docker-socket mounts.
|
||||
- Capability-surface minimerad med `cap_drop: ["ALL"]`.
|
||||
- Isolerad data-path under `/DATA/AppData/$AppID/...`.
|
||||
|
||||
## Driftnoteringar
|
||||
|
||||
- För GPU-acceleration kan extra device-mounts krävas beroende på host och drivrutiner.
|
||||
- Om HTTPS används på `3001` kan webbläsaren visa certifikatvarning vid första anslutning.
|
||||
- Rekommenderad nästa fas: separat Moonlight/Sunshine-spår som opt-in, med egen riskprofil.
|
||||
@@ -0,0 +1,81 @@
|
||||
name: steam-headless
|
||||
|
||||
services:
|
||||
steam:
|
||||
image: lscr.io/linuxserver/steam:version-04.02.26
|
||||
container_name: steam-headless
|
||||
restart: unless-stopped
|
||||
shm_size: "1gb"
|
||||
|
||||
environment:
|
||||
TZ: ${TZ}
|
||||
PUID: ${PUID}
|
||||
PGID: ${PGID}
|
||||
STEAM_HTTP_PORT: ${STEAM_HTTP_PORT:-3000}
|
||||
STEAM_HTTPS_PORT: ${STEAM_HTTPS_PORT:-3001}
|
||||
|
||||
ports:
|
||||
- target: 3000
|
||||
published: ${STEAM_HTTP_PORT:-3000}
|
||||
protocol: tcp
|
||||
- target: 3001
|
||||
published: ${STEAM_HTTPS_PORT:-3001}
|
||||
protocol: tcp
|
||||
|
||||
volumes:
|
||||
- type: bind
|
||||
source: /DATA/AppData/$AppID/config
|
||||
target: /config
|
||||
|
||||
# Required by LinuxServer Steam for bubblewrap/game namespaces.
|
||||
security_opt:
|
||||
- seccomp:unconfined
|
||||
- no-new-privileges:true
|
||||
|
||||
# Keep capability surface minimal unless a specific game requires otherwise.
|
||||
cap_drop:
|
||||
- ALL
|
||||
|
||||
x-casaos:
|
||||
envs:
|
||||
- container: TZ
|
||||
description:
|
||||
en_us: Timezone, for example Europe/Stockholm
|
||||
- container: PUID
|
||||
description:
|
||||
en_us: User ID for filesystem permissions
|
||||
- container: PGID
|
||||
description:
|
||||
en_us: Group ID for filesystem permissions
|
||||
ports:
|
||||
- container: "3000"
|
||||
description:
|
||||
en_us: Steam desktop GUI over HTTP
|
||||
- container: "3001"
|
||||
description:
|
||||
en_us: Steam desktop GUI over HTTPS
|
||||
volumes:
|
||||
- container: /config
|
||||
description:
|
||||
en_us: Steam home, configuration, and game files
|
||||
|
||||
x-casaos:
|
||||
architectures:
|
||||
- amd64
|
||||
main: steam
|
||||
category: Games
|
||||
author: Zima Apps Team
|
||||
developer: linuxserver.io
|
||||
icon: https://cdn.simpleicons.org/steam
|
||||
tagline:
|
||||
en_us: Browser-based Steam desktop container for ZimaOS
|
||||
description:
|
||||
en_us: >-
|
||||
Runs LinuxServer Steam as a web-accessible desktop session.
|
||||
Optimized for amd64 and least-privilege defaults, with optional future
|
||||
Moonlight-focused expansion in a later phase.
|
||||
title:
|
||||
en_us: Steam Headless
|
||||
index: /
|
||||
port_map: ${STEAM_HTTPS_PORT:-3001}
|
||||
scheme: https
|
||||
Reference in New Issue
Block a user