# Time Machine Denna app kör en SMB-baserad Time Machine-target för macOS med image `mbentley/timemachine`. Imagepinning i denna app: - Compose använder explicit daterad tag: `mbentley/timemachine:smb-20260329` - `latest` används inte enligt repo-policy. - Taggen verifierades mot Docker Hub innan införande. ## Syfte - Ge en dedikerad backup-destination för macOS Time Machine i ZimaOS. - Hålla konfigureringen enkel och reviewbar. - Prioritera minst möjliga privilegier som fortfarande fungerar utan host network. ## Portar - `137/udp` (NetBIOS name service) - `138/udp` (NetBIOS datagram service) - `139/tcp` (NetBIOS session service) - `445/tcp` (SMB) ## Volymer - `/DATA/AppData/$AppID/backup -> /opt/timemachine` Backupdata lagras isolerat under appens AppData-sökväg. ## Miljövariabler - `TZ` (default `Europe/Stockholm`) - `TM_USERNAME` (default `timemachine`) - `TM_GROUPNAME` (default `timemachine`) - `PASSWORD` (MUST ändras från `CHANGE_ME` före drift) - `TM_UID` (default `1000`) - `TM_GID` (default `1000`) - `SET_PERMISSIONS` (default `false`) - `VOLUME_SIZE_LIMIT` (default `0`, dvs obegränsad) ## Säkerhetsmodell Aktiva skydd: - Ingen `privileged: true` - Ingen `network_mode: host` - Ingen mount av `/var/run/docker.sock` - `security_opt: ["no-new-privileges:true"]` - Snäv bind-mount till appens egna data under `/DATA/AppData/$AppID/...` Tradeoff: - Utan host network fungerar inte alltid automatisk Bonjour/Avahi-discovery över alla nät. - Fallback är manuell anslutning i Finder: `smb:///TimeMachine`. ## Högrisk-inställningar Inga högrisk-inställningar används i default-config. Alternativ som utvärderats men inte valts som default: - `network_mode: host` för bättre auto-discovery. Varför inte default: - Host network ökar attackytan och isoleringen minskar. - Manuell SMB-anslutning ger fungerande backupflöde med lägre risk. ## Drift och underhåll - Uppdatera till nyare `smb-YYYYMMDD`-taggar regelbundet för säkerhetsfixar. - Rotera Time Machine-lösenord enligt normal credential-policy. - Verifiera återläsning periodiskt, inte bara backup-jobb.