Joachim Friberg
2.1 KiB
2.1 KiB
Time Machine
Denna app kör en SMB-baserad Time Machine-target för macOS med image mbentley/timemachine.
Imagepinning i denna app:
- Compose använder explicit daterad tag:
mbentley/timemachine:smb-20260329 latestanvänds inte enligt repo-policy.- Taggen verifierades mot Docker Hub innan införande.
Syfte
- Ge en dedikerad backup-destination för macOS Time Machine i ZimaOS.
- Hålla konfigureringen enkel och reviewbar.
- Prioritera minst möjliga privilegier som fortfarande fungerar utan host network.
Portar
137/udp(NetBIOS name service)138/udp(NetBIOS datagram service)139/tcp(NetBIOS session service)445/tcp(SMB)
Volymer
/DATA/AppData/$AppID/backup -> /opt/timemachine
Backupdata lagras isolerat under appens AppData-sökväg.
Miljövariabler
TZ(defaultEurope/Stockholm)TM_USERNAME(defaulttimemachine)TM_GROUPNAME(defaulttimemachine)PASSWORD(MUST ändras frånCHANGE_MEföre drift)TM_UID(default1000)TM_GID(default1000)SET_PERMISSIONS(defaultfalse)VOLUME_SIZE_LIMIT(default0, dvs obegränsad)
Säkerhetsmodell
Aktiva skydd:
- Ingen
privileged: true - Ingen
network_mode: host - Ingen mount av
/var/run/docker.sock security_opt: ["no-new-privileges:true"]- Snäv bind-mount till appens egna data under
/DATA/AppData/$AppID/...
Tradeoff:
- Utan host network fungerar inte alltid automatisk Bonjour/Avahi-discovery över alla nät.
- Fallback är manuell anslutning i Finder:
smb://<server-ip>/TimeMachine.
Högrisk-inställningar
Inga högrisk-inställningar används i default-config.
Alternativ som utvärderats men inte valts som default:
network_mode: hostför bättre auto-discovery.
Varför inte default:
- Host network ökar attackytan och isoleringen minskar.
- Manuell SMB-anslutning ger fungerande backupflöde med lägre risk.
Drift och underhåll
- Uppdatera till nyare
smb-YYYYMMDD-taggar regelbundet för säkerhetsfixar. - Rotera Time Machine-lösenord enligt normal credential-policy.
- Verifiera återläsning periodiskt, inte bara backup-jobb.