Salut à tous,

Aujourd'hui, j'ai remarqué que j'avais fait une énorme boulette digne du plus gros boulet. J'ai laissé durant un mois libre accès à l'interface radarr et sonarr.
Je m'explique. D'abord, voici ma config pour radarr par exemple:

radarr:
   image: hotio/suitarr:radarr
   #image: linuxserver/radarr
   container_name: radarr
   restart: ${RESTART_MODE}
   networks:
    - ${PROXY_NAME}
   labels:
     - traefik.frontend.auth.basic=${ACCESS}
     - traefik.backend=radarr
     - traefik.frontend.rule=Host:${RADARR_FQDN}.${FQDN}
     - traefik.docker.network=host
     - traefik.enable=true
     - traefik.port=7878
   volumes:
    - ${CONFIG_DIR}radarr:/config
    - ${RTORRENT_DIR}:/downloads
    - ${MEDIA_DIR}:/movies
   environment:
    - BACKUP=yes
    - PUID=1000
    - PGID=1000
    - VERSION=unstable
    - TZ=Europe/Zurich

Comme on peut le voir, mon image de radarr est protégé uniquement via une authentification basic via traefik. J'ai pas activé l'autentification de radarr sur la page. Donc, je protégeais la page via un simple: traefik.frontend.auth.basic=${ACCESS}. ACCESS référant à mon htpasswd. En allant sur la page désigné via "traefik.frontend.rule", on me demandait le login et mdp.
Je croyais que ça suffisait.
Mais il s'avère que je déclarais également les ports pour les mapper. Je pensais que c'était nécessaire. J'avais donc un champs:
ports:
7878:7878
Il s'avère que ce champs permet d'accéder à Radarr via nomdedomaine.com:7878 et comme je n'avais pas activer le login, tout le monde y avait accès (encore faut-il connaitre le nom de domaine).

Ma question est donc simple. Quand faut-il utiliser le champs ports et quand ne le faut-il pas?
Ce champs permet d'ourvir et mapper des ports. Traefik étant un proxy, il s'occupe de la gestion via traefik.port=7878 et permet d'y avoir accès (reverse proxy) via traefik.frontend.rule=Host:${RADARR_FQDN}.${FQDN}. Donc les seules ports que je dois mapper, ce sont d'autres ports éventuel qui permettent d'accéder à d'autres instances d'un service. Juste? Et absolument pas mapper le port qui est déjà déclaré dans traefik.port?

Ca me rappelle la fois où j'avais reconfigurer un serveur, installer jackett, insérer tous mes mots de passes, et oublié de le sécuriser par un mot de passe ^'''. Un gentil monsieur m'avait envoyé un mail pour m'avertir. Très gentil de sa part d'ailleurs, j'ai eu le plaisir de changer tous mes mots de passe et passkey 😃

Salut, pas top en effet mais risque limité vu les applications. Le port est à publier "quand nécessaire". Ouais, je sais, c'est précis ^^
Par exemples quand tu n'utilises pas de reverseproxy ou quand c'est une BDD qui doit être accessible depuis une autre machine (dans ce cas le mieux restant encore de passer par un VPN). Sinon en effet tous les reverses basés sur Docker ont (logiquement) accès au réseau sur lequel tournent les Dockers et donc aucunement besoin de publier les ports.

Merci, j'ai vraiment enfin compris.
Maintenant, c'est enfin bon.

Heureusement que radarr & co, n'affiche pas en clair les mots de passes. J'ai juste changé la clé API de jackett dans le doute.

Pourquoi exposes tu le port pour radarr ? Je ne l'ai jamais exposé ?

Répondre…