Docker Container automatisch aktualisieren auf dem Synology

Mit dem DSM 6.x und dem entsprechenden NAS können Dockercontrainer gut betrieben werden. Die verschiedenen Contrainer aktuell zu halten finde ich standartmässig ziemlich mühsam. Ja klar es geht alles via DSM-GUI, jedoch war das für mich auf dauer zu mühsam.

containrrr hat einen sehr hilfreiches Image „watchtower“ auf dockerhub zur Verfügung gestellt. Mit Hilfe dieses Images kann ein Container betrieben werden, der die laufenden Container auf neuere Images überprüft.

Falls ein neueres Image vorhanden ist, lädt watchtower diese runter stoppt den Container und startet ihn wieder.

Es gibt noch diverse weitere Parameter die verwendet werden können, diese sind hier https://containrrr.github.io/watchtower/arguments/ zu finden.

Ich bin folgendermassen vorgegangen um watchtower auf meinem Syno zu betreiben

  • Image containrrr/watchtower:latest runterladen
  • Via SSH auf das syno verbinden
  • Diesen Befehl ausführen:
    sudo docker run -d --name watchtower -v /var/run/docker.sock:/var/run/docker.sock containrrr/watchtower --cleanup --interval 3600

Die verwendeten Argumente dienen dazu, dass die alten Images gelöscht werden und das die Überprüfung auf neue Images nur jede Stunde gemacht wird.

Let’s Encrypt Zertifikat auf einem alten Synology NAS mit DSM 5.2

Mit Let’s Encrypt lassen sich gratis vertrauenswürdige SSL-Zertifikate erstellen.

Mit dem DSM 6.0 unterstützt Synology  Let’s Encrypt  als Aussteller von SSL Zertifikaten. Wenn jedoch noch kein DSM 6.x zur Verfügung steht wird ein wenig komplizierter.

Nach einigen erfolglosen Versuchen dieses Problem zu lösen bin ich auf den Blog-Post von raorn gestossen.

Vorbedingung:

  • NAS muss von extern erreichbar sein (Port 80 & 443)
  • Zugriff via SSH auf das NAS

ACME-Client

Die Installation des Zertifikates passiert via Shell. Da die installierte BusyBox einen sehr eingeschränkten Funktionsumfang hat bietet sich die Installation vom ACME-Client an.

cd /volume1

wget https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh

sh ./acme.sh --install --nocron --home /volume1/.acme.sh

. /volume1/.acme.sh/acme.sh.env

Zertifikat ausstellen und installieren

acme.sh --issue \
-d domain.org \
--webroot /var/lib/letsencrypt \
--certpath /usr/syno/etc/ssl/ssl.crt/server.crt \
--keypath /usr/syno/etc/ssl/ssl.key/server.key \
--capath /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt \
--reloadcmd '/usr/syno/sbin/synoservicecfg --reload httpd-sys'

Im obenstehenden Befehl muss natürlich domain.org mit derjenigen auf welche das Zertifikat ausgestellt werden soll ersetzt werden.

Das war der letzte Schritt der via Shell gemacht werden muss.

Aktualisierung des Zertifikats

Eine Besonderheit von Let’s Encrypt Zertifikaten ist, dass diese nur eine Gültigkeit von 90 Tagen haben. Das heisst die Zertifikate müssen relativ oft aktualisiert werden.

Dieser Vorgang kann auch automatisiert werden.

Das mit Hilfe eines Task vom Task Scheduler via DSM gemacht werden.

  1. Anmelden an DSM
  2. Systemsteuerung
  3. Aufgabenplaner
  4. Erstellen -> Benutzerdefiniertes Skript
    1. /volume1/.acme.sh/acme.sh --cron --home /volume1/.acme.sh
    2. Zeitplan so wählen, dieser Befehl innerhalb von 90 Tagen einmal ausgeführt wird

Quelle: http://blog.raorn.name/2017/02/lets-encrypt-certificates-on-synology.html

SuisseID, ja ich habe einen Anwendungsfall gefunden

Im letzten Bericht über die SuisseID war meine Aussage, dass ich die SuisseID nicht verwende.
Fast wie ein guter Vorsatz für das 2013 habe ich mir vorgenommen die SuisseID vermehrt einzusetzen. Es gibt unterdessen einige
Web-Lösungen die das Login mit SuisseID anbieten, bis jetzt habe ich das zwar zur Kenntnis genommen, jedoch nie wirklich beachtet.
Nebst brack.ch bietet auch die KPT das Login mit SuisseID an.

Als erstes musste ich die nötige Software zur Verwendung der SuisseID auf meinem Rechner installieren. Einerseits den Treiber für den USB-Token andererseits die Software Sign! zum signieren von Dokumenten. Letzteres ist an sich nicht nötig um die Login-Funktionalitäten der Webseiten nutzen zu können.

Anschliessend an die Installationen konnte ich (fast) ohne Probleme meine SuisseID mit meinem Account verknüpfen. Mit dem Browser CoolNovo funktioniert das Login nicht, da dieser Browser nicht auf die SuisseID zugreifen kann. Da bleibe ich jedoch dran, ich gehe davon aus, dass es auch mit diesem Browser möglich sein sollte.
Testeshalber nutzte ich halt den Internet Explorer. Mit diesem funktioniert das Login mit SuisseID einwandfrei.

Was ist nun der Vorteil mit dem SuisseID-Login?

Login-Ablauf ohne SuisseID:

  1. Benutzername eingeben
  2. Passwort eingeben
  3. Code (Email, SMS) eingeben

Login-Ablauf mit SuisseID:

  1. SuisseID am Rechner anschliessen, SuisseID Pin eingeben (pro Browser-Sitzung)
  2. Benutzernamen eingeben

Fazit

Mit der SuisseID können zwei Eingaben gespart werden. Somit wird das ganze schon interessanter. Je mehr Webseiten diese Login-Variante anbieten desto intensiver werde ich das nutzen.

KeePass der Passwort-Manager

Vor einiger Zeit habe ich mal über den Passwort-Manager KeePass geschrieben. Ich bin immer noch absolut begeistert von diesem Tool!

Was hat sich bei mir in der Verwendung geändert:

  1. Verwende zur Synchronisation nun Dropbox und nicht mehr FTP
  2. Mit dem Andriod-Client habe ich alle Passwörter wirklich immer dabei

Weitere Vorteile die sich bei mir durch die Verwendung von KeePass ergeben haben:

  1. Ich verwende viel sicherere Passwörter
  2. Ich habe quasi nirgendwo mehr das gleiche Passwort

Wer also auf der Suche nach einem Passwort-Manager ist, findet mit KeePass ein super Tool.

Übrigens gibt’s das Tool auch als portable Version. Das wiederum würde die Möglichkeit bieten, nicht nur das Datenbank-File in der Dropbox zu speichern, sondern gerade die ganze Anwendung!

Mit SuisseID unterschriebene Dokumente verunsichern

Neulich habe ich wiedermal meine SuisseID verwendet. Mein Plan war ein PDF zu unterschreiben. Einfache Idee, recht mühsame Umsetzung (ja ich möchte mich sehr gerne eines besseren belehren lassen).

Hürde 1:

Das PDF muss so erstellt werden, dass es unterschrieben werden kann. Bis jetzt habe ich leider noch keine Möglichkeit gefunden aus der Microsoft Office Palette ein PDF zu erstellen welches auch unterschrieben werden darf.
Es war mir nur möglich mittels Adobe Acrobat das PDF so zu erstellen, dass ich es anschliessend unterschreiben konnte.

Das Unterschreiben geht recht komfortabel , kein Problem.

Hürde 2:

Die Freude über das unterschriebene Dokument war recht gross, ja schon fast Euphorie artig. Doch dann machte ich den Fehler (zu Glück) und öffnete das Dokument noch im normalen Reader.

Da stach mir folgende Meldung ins Auge und vorbei war es mit der Euphorie:

Ich hab das Dokument auf diversen Rechnern geöffnet, mit dem selben Resultat.

Bis jetzt weiss ich nicht, wie ich diese Meldung verhindern kann. Ich dachte mir, dass ich ein vertrauenswürdiges Zertifikat gekauft habe.

Fazit:

– Ich hoffe, dass mir jemand sagen kann das ich etwas falsch gemacht habe
– Ein so unterschriebenes PDF verwirrt viel mehr als das es Sicherheit bringt und das sollte doch eigentlich der Zweck sein
– Solche unterschriebenen Dokumente sind unbrauchbar (nicht rechtlich aber rein von der Handhabung her)