phirna-pub/zima-apps
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
3d9a599f71fcb030c5b5c814c244a8987b3f0bd1
zima-apps/Apps/steam-moonlight/README.md
T

3.1 KiB
Raw Blame History

Steam Moonlight (Scaffold)

Detta är en scaffold för hybridspåret (browser + Moonlight) baserat på josh5/steam-headless.

Kompletterande säkerhetsdokument:

  • SECURITY.md
  • MOONLIGHT-RUNTIME-CHECKLIST.md

Syfte

  • Ge en låg-risk default för browserbaserad Steam-desktop.
  • Ge en separat opt-in-profil för Moonlight/Sunshine.
  • Isolera högriskinställningar till en explicit profil (moonlight).

Imagepinning

  • Compose använder immutable referens:
    • josh5/steam-headless:debian-0.2.0@sha256:540366bee31297c5679a5006a84dbca039ca62aaab695852b51b5f62dffd2c14
  • Repon kräver att latest inte används i compose.

Profiler

  • steam (default): browser-first, lägre risk, ingen host network.
  • steam-moonlight (profiles: ["moonlight"]): aktiverar Sunshine + controller/GPU passthrough med högre privilegier.

Körning

  • Default (rekommenderad start):
    • docker compose -f Apps/steam-moonlight/docker-compose.yaml up -d steam
  • Moonlight (opt-in):
    • docker compose -f Apps/steam-moonlight/docker-compose.yaml --profile moonlight up -d steam-moonlight
  • Innan Moonlight aktiveras:
    • byt SUNSHINE_PASS till ett starkt lösenord,
    • verifiera GPU_CARD_DEVICE och GPU_RENDER_DEVICE för rätt GPU.

Portar

  • Defaultprofil (steam):
    • ${STEAM_WEB_PORT:-8083}/tcp för webdesktop.

Moonlightprofilen använder network_mode: host och tar därför nätverk direkt från host.

Volymer

  • Defaultprofil:
    • /DATA/AppData/$AppID/home -> /home/default
    • /DATA/AppData/$AppID/games -> /mnt/games
  • Moonlightprofil:
    • /DATA/AppData/$AppID/moonlight-home -> /home/default
    • /DATA/AppData/$AppID/moonlight-games -> /mnt/games

Privilegier och säkerhet

Gemensamt:

  • no-new-privileges:true

Defaultprofil (steam, lägre risk):

  • cap_drop: ["ALL"]
  • Ingen network_mode: host
  • Inga device mounts
  • Ingen Sunshine-aktivering som default

Moonlightprofil (högrisk):

  • ipc: host
  • security_opt: ["seccomp:unconfined", "apparmor:unconfined", "no-new-privileges:true"]
  • cap_drop: ["ALL"] + cap_add: [NET_ADMIN, SYS_ADMIN, SYS_NICE]
  • network_mode: host
  • Device mounts: /dev/fuse, /dev/uinput, /dev/dri/*
  • device_cgroup_rules: ['c 13:* rmw']

Säkerhetsavvikelser

Denna app innehåller avsiktliga avvikelser, primärt i moonlight-profilen.

Varför det behövs:

  • Moonlight/Sunshine och fysisk controller-input kräver i praktiken host-nära åtkomst i denna containerfamilj.

Alternativ som utvärderats:

  • Browser-only (steam default): lägre risk men sämre latens/gamepad.
  • Full privileged: true: avvisat i scaffolden för att begränsa attackytan.

Risker:

  • Host network minskar nätverksisolering.
  • Extra capabilities och device-passthrough ökar konsekvensen vid containerkompromettering.

Riskreducering:

  • Högrisk är opt-in via profil, inte default.
  • Ingen docker socket-mount används.
  • Persistent data är begränsad till /DATA/AppData/$AppID/....
  • Defaultprofilen droppar alla Linux capabilities.

Status

Scaffolden är avsedd för kontrollerad vidareutveckling och verifiering, inte som slutlig hardened release.

Reference in New Issue View Git Blame Copy Permalink