Alors oui c’est sale, mais dans le cadre d’une installation de docker en mode rooteless, il m’a été demandé de permettre à des container de pouvoir écouter sur des ports à privilège (< 1024).
Plusieurs méthodes sont disponibles, mais voici la méthode que j’ai utilisé consistant à modifier la plage des ports a privilège.
nous déclarons un fichier comme suit:
$ cat /etc/sysctl.d/99-unprivileged-ports.conf
net.ipv4.ip_unprivileged_port_start=80nous chargeons enfin la modification à l’aide de la commande suivante:
$ sudo sysctl --systemet voilà !
Cette méthode est très simple, fonctionne immédiatement pour tous les processus, cependant elle impacte le système dans sa globalité et pourrait ne pas correspondre à une politique de sécurité d’entreprise
dans l’idée j’aimerai par la suite modifier cela pour pouvoir utiliser une méthode via systemd. Il s’agirait de gérer le service nécessitant un port à privilège via systemd mais ceci impose d’installer traefik directement sur l’hôte. C’est tout à fait possible mais on perd la flexibilité de docker pour le service traefik.
liens connexes:
https://doc.traefik.io/traefik/getting-started/install-traefik/#use-the-binary-distribution