linuxserver/sealskin

![sealskin]([***]

镜像概述

Sealskin是一个自托管的客户端-服务器平台，允许用户运行强大的容器化桌面应用，并通过Web浏览器直接流式传输。它使用浏览器扩展拦截用户操作（如点击链接或下载文件），并将其重定向到运行在远程服务器上的安全隔离应用环境。

LinuxServer.io团队提供的此容器具有以下特点：

• 定期及时的应用更新
• 简单的用户映射（PGID、PUID）
• 带有s6 overlay的自定义基础镜像
• 每周基础操作系统更新，跨整个LinuxServer.io生态系统共享通用层，以最小化空间使用、停机时间和带宽
• 定期安全更新

支持的架构

我们利用Docker清单实现多平台支持。只需拉取 lscr.io/linuxserver/sealskin:latest 即可获取适合您架构的正确镜像，也可通过标签拉取特定架构的镜像。

此镜像支持的架构：

应用设置

此镜像托管SealSkin平台的服务器组件。通过SealSkin浏览器扩展访问平台需要使用两个端口：8000（API端口）和8443（应用会话端口）。

从此处下载浏览器扩展，或访问8000端口下载与服务器捆绑的ZIP文件并解压安装。在扩展选项中，选择手动配置，使用"admin"用户填写服务器端点以及通过容器首次运行日志获取或自行生成的密钥。

基本要求

当前版本中，运行示例中列出的每个变量都是必需的，包括容器名称。启动容器的唯一后端提供程序是Docker。此容器设计为在服务器的默认桥接网络上工作，将容器启动到该网络并代理其内部流量。存储路径是密钥和存储管理所必需的，而它们的挂载路径从容器内部调整为在主机上运行以启动会话。从容器桌面会话到整个堆栈均以PUID和PGID运行，确保您使用的用户有权访问/config和/storage路径。首次容器初始化日志中的管理员私钥和服务器公钥需妥善保存，用于配置浏览器扩展和管理服务器。

密钥与证书管理

服务器需要几个加密密钥才能正常运行。您可以让服务器在首次运行时执行自动设置，或手动提供自己的密钥以获得更多控制权。

自动首次运行设置（推荐）

这是最简单的方法。首次启动且/config卷为空时：

1. 初始化过程会自动生成必需的服务器密钥（server_key.pem）和代理的自签名SSL证书（proxy_key.pem、proxy_cert.pem）。
2. 应用程序会检测到没有管理员存在，创建名为admin的默认用户，并将其私钥直接输出到容器日志中。

您只需在首次启动后立即检查日志，复制admin用户的整个私钥块并安全保存。此密钥不会再次显示。

手动预配置（高级）

如果您希望使用自己的管理员密钥或提供有效的SSL证书，可以在首次启动前将必要的文件放入/config卷中。

• 使用自定义管理员密钥：

  1. 生成您自己的RSA密钥对。
  2. 创建仅包含您的公钥PEM数据的文件，位置如下：
     • 路径： /path/to/config/.config/sealskin/keys/admins/admin
  3. 服务器将检测到此文件并跳过自动管理员创建。您将使用相应的私钥从扩展登录。

• 使用自定义SSL证书：

  • 将SSL私钥和证书文件放在以下位置。这将覆盖初始化过程生成的自签名证书。
    • 密钥路径： /path/to/config/ssl/proxy_key.pem
    • 证书路径： /path/to/config/ssl/proxy_cert.pem

• 使用自定义服务器E2EE密钥：

  • 将您的RSA私钥放在此位置。这是API端到端加密的核心密钥，当用户在配置扩展时设置服务器公钥时用于验证服务器。
    • 路径： /path/to/config/ssl/server_key.pem
    • 生成命令： openssl genpkey -algorithm RSA -out /path/to/config/ssl/server_key.pem -pkeyopt rsa_keygen_bits:4096
  • 要获取浏览器扩展所需的相应公钥，可以使用以下命令从私钥中提取：
    • 提取命令： openssl rsa -in server_key.pem -pubout

用法

以下提供docker-compose和docker cli两种方式帮助您开始使用此镜像创建容器。

[!NOTE] 除非参数标记为"可选"，否则均为必填项，必须提供值。

docker-compose（推荐，点击查看更多信息）

yaml
---
services:
  sealskin:
    image: lscr.io/linuxserver/sealskin:latest
    container_name: sealskin
    network_mode: bridge
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Etc/UTC
    volumes:
      - /path/to/sealskin/config:/config
      - /path/to/sealskin/storage:/storage
      - /var/run/docker.sock:/var/run/docker.sock
    ports:
      - 8000:8000
      - 8443:8443
    restart: unless-stopped

docker cli (点击查看更多信息)

bash
docker run -d \
  --name=sealskin \
  --net=bridge \
  -e PUID=1000 \
  -e PGID=1000 \
  -e TZ=Etc/UTC \
  -p 8000:8000 \
  -p 8443:8443 \
  -v /path/to/sealskin/config:/config \
  -v /path/to/sealskin/storage:/storage \
  -v /var/run/docker.sock:/var/run/docker.sock \
  --restart unless-stopped \
  lscr.io/linuxserver/sealskin:latest

参数

容器通过运行时传递的参数进行配置（如上所示）。这些参数用冒号分隔，表示<外部>:<内部>。例如，-p 8080:80会将容器内的端口80暴露到主机IP的8080端口。

环境变量文件（Docker secrets）

您可以通过使用特殊前缀FILE__从文件中设置任何环境变量。

例如：

bash
-e FILE__MYVAR=/run/secrets/mysecretvariable

这将根据/run/secrets/mysecretvariable文件的内容设置环境变量MYVAR。

应用运行的Umask设置

对于我们所有的镜像，您可以使用可选的-e UMASK=022设置覆盖容器内启动的服务的默认umask设置。请注意，umask不是chmod，它基于其值减去权限，而不是添加。请在请求支持前了解更多。

用户/组标识符

使用卷（-v标志）时，主机OS和容器之间可能会出现权限问题，我们通过允许您指定用户PUID和组PGID来避免此问题。

确保主机上的任何卷目录都由您指定的相同用户拥有，所有权限问题将迎刃而解。

在此示例中PUID=1000和PGID=1000，要查找您的ID，请使用id your_user：

bash
id your_user

示例输出：

text
uid=1000(your_user) gid=1000(your_user) groups=1000(your_user)

Docker Mods

我们发布了各种Docker Mods，以启用容器内的附加功能。上方动态徽章显示了此镜像可用的mods（如有）以及可应用于我们任何镜像的通用mods。

支持信息

• 容器运行时的Shell访问：

  bash
  docker exec -it sealskin /bin/bash
  

• 实时监控容器日志：

  bash
  docker logs -f sealskin
  

• 容器版本号：

  bash
  docker inspect -f '{{ index .Config.Labels "build_version" }}' sealskin
  

• 镜像版本号：

  bash
  docker inspect -f '{{ index .Config.Labels "build_version" }}' lscr.io/linuxserver/sealskin:latest
  

更新信息

我们的大多数镜像是静态的、版本化的，需要更新镜像并重新创建容器才能更新内部的应用。除了某些例外（在相关readme.md中注明），我们不建议或支持在容器内更新应用。请参考上方的应用设置部分，了解是否推荐对此镜像进行应用更新。

以下是更新容器的说明：

通过Docker Compose

• 更新镜像：

  • 所有镜像：

    bash
    docker-compose pull
    

  • 单个镜像：

    bash
    docker-compose pull sealskin
    

• 更新容器：

  • 所有容器：

    bash
    docker-compose up -d
    

  • 单个容器：

    bash
    docker-compose up -d sealskin
    

• 您还可以删除旧的悬空镜像：

  bash
  docker image prune
  

通过Docker Run

• 更新镜像：

  bash
  docker pull lscr.io/linuxserver/sealskin:latest
  

• 停止运行中的容器：

  bash
  docker stop sealskin
  

• 删除容器：

  bash
  docker rm sealskin
  

• 使用上述相同的docker run参数重新创建新容器（如果正确映射到主机文件夹，您的/config文件夹和设置将被保留）

• 您还可以删除旧的悬空镜像：

  bash
  docker image prune
  

镜像更新通知 - Diun（Docker镜像更新通知器）

[!TIP] 我们推荐使用Diun进行更新通知。不建议或支持使用其他自动更新容器的工具。

本地构建

如果您想对这些镜像进行本地修改以用于开发目的或自定义逻辑：

bash
git clone [***]
cd docker-sealskin
docker build \
  --no-cache \
  --pull \
  -t lscr.io/linuxserver/sealskin:latest .

可以使用lscr.io/linuxserver/qemu-static在x86_64硬件上构建ARM变体，反之亦然：

bash
docker run --rm --privileged lscr.io/linuxserver/qemu-static --reset

注册后，您可以使用-f Dockerfile.aarch64指定要使用的dockerfile。

版本历史

• 31.10.25: - 初始发布。