Added timemachine
This commit is contained in:
Joachim Friberg
@@ -0,0 +1,73 @@
|
||||
# Time Machine
|
||||
|
||||
Denna app kör en SMB-baserad Time Machine-target för macOS med image `mbentley/timemachine`.
|
||||
|
||||
Imagepinning i denna app:
|
||||
|
||||
- Compose använder explicit daterad tag: `mbentley/timemachine:smb-20260329`
|
||||
- `latest` används inte enligt repo-policy.
|
||||
- Taggen verifierades mot Docker Hub innan införande.
|
||||
|
||||
## Syfte
|
||||
|
||||
- Ge en dedikerad backup-destination för macOS Time Machine i ZimaOS.
|
||||
- Hålla konfigureringen enkel och reviewbar.
|
||||
- Prioritera minst möjliga privilegier som fortfarande fungerar utan host network.
|
||||
|
||||
## Portar
|
||||
|
||||
- `137/udp` (NetBIOS name service)
|
||||
- `138/udp` (NetBIOS datagram service)
|
||||
- `139/tcp` (NetBIOS session service)
|
||||
- `445/tcp` (SMB)
|
||||
|
||||
## Volymer
|
||||
|
||||
- `/DATA/AppData/$AppID/backup -> /opt/timemachine`
|
||||
|
||||
Backupdata lagras isolerat under appens AppData-sökväg.
|
||||
|
||||
## Miljövariabler
|
||||
|
||||
- `TZ` (default `Europe/Stockholm`)
|
||||
- `TM_USERNAME` (default `timemachine`)
|
||||
- `TM_GROUPNAME` (default `timemachine`)
|
||||
- `PASSWORD` (MUST ändras från `CHANGE_ME` före drift)
|
||||
- `TM_UID` (default `1000`)
|
||||
- `TM_GID` (default `1000`)
|
||||
- `SET_PERMISSIONS` (default `false`)
|
||||
- `VOLUME_SIZE_LIMIT` (default `0`, dvs obegränsad)
|
||||
|
||||
## Säkerhetsmodell
|
||||
|
||||
Aktiva skydd:
|
||||
|
||||
- Ingen `privileged: true`
|
||||
- Ingen `network_mode: host`
|
||||
- Ingen mount av `/var/run/docker.sock`
|
||||
- `security_opt: ["no-new-privileges:true"]`
|
||||
- Snäv bind-mount till appens egna data under `/DATA/AppData/$AppID/...`
|
||||
|
||||
Tradeoff:
|
||||
|
||||
- Utan host network fungerar inte alltid automatisk Bonjour/Avahi-discovery över alla nät.
|
||||
- Fallback är manuell anslutning i Finder: `smb://<server-ip>/TimeMachine`.
|
||||
|
||||
## Högrisk-inställningar
|
||||
|
||||
Inga högrisk-inställningar används i default-config.
|
||||
|
||||
Alternativ som utvärderats men inte valts som default:
|
||||
|
||||
- `network_mode: host` för bättre auto-discovery.
|
||||
|
||||
Varför inte default:
|
||||
|
||||
- Host network ökar attackytan och isoleringen minskar.
|
||||
- Manuell SMB-anslutning ger fungerande backupflöde med lägre risk.
|
||||
|
||||
## Drift och underhåll
|
||||
|
||||
- Uppdatera till nyare `smb-YYYYMMDD`-taggar regelbundet för säkerhetsfixar.
|
||||
- Rotera Time Machine-lösenord enligt normal credential-policy.
|
||||
- Verifiera återläsning periodiskt, inte bara backup-jobb.
|
||||
Reference in New Issue
Block a user