银河麒麟高级服务器操作系统V10SP2(X86|ARM)docker-engine软件导致容器umask值为0027而不是0022处理方法

熊082024-06-29 19:55

银河麒麟高级服务器操作系统V10SP2(X86|ARM)docker-engine软件导致容器umask值为0027而不是0022问题分析

    • [一 系统环境](#一 系统环境)
    • [二 问题原因](#二 问题原因)
      • [2.1 欧拉官网给出的解释](#2.1 欧拉官网给出的解释)
      • [2.2 麒麟软件包的来源是沿用欧拉上游社区](#2.2 麒麟软件包的来源是沿用欧拉上游社区)
    • [三 本地测试](#三 本地测试)
    • [四 问题解决](#四 问题解决)
      • [4.1 方案一 添加--exec-opt native.umask=normal参数](#4.1 方案一 添加--exec-opt native.umask=normal参数)
        • [4.1.1 编辑/etc/sysconfig/docker文件](#4.1.1 编辑/etc/sysconfig/docker文件)
        • [4.1.2 重载服务](#4.1.2 重载服务)
        • [4.1.3 重启docker服务](#4.1.3 重启docker服务)
      • [4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64](#4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64)
        • [4.2.1 执行升级命令](#4.2.1 执行升级命令)
        • [4.2.2 重载服务](#4.2.2 重载服务)
        • [4.2.3 重启docker服务](#4.2.3 重启docker服务)

前言
1、runc二进制程序导致umask值变化,该二进制在在docker-engine软件包中自带
2、建议用升级软件包的方式解决,并先行在测试环境测试
3、SP1、SP2均有这个问题,SP1也需要升级到SP2 updates源里面的docker-engine-18.09.0-202.p02.ky10.x86_64版本及以上

一 系统环境

bash 复制代码 
[root@localhost ~]# nkvers 
############## Kylin Linux Version #################
Release:
Kylin Linux Advanced Server release V10 (Sword)

Kernel:
4.19.90-24.4.v2101.ky10.x86_64

Build:
Kylin Linux Advanced Server
release V10 (SP2) /(Sword)-x86_64-Build09/20210524
#################################################

二 问题原因

2.1 欧拉官网给出的解释

查看欧拉官网给出的说明:默认主容器进程和执行进程的umask值为0022。为了满足安全规范并防止容器受到攻击,将umask的默认值更改为在修改了runc实现之后,到0027。修改后,其他组无法访问新的文件或目录。

Docker启动容器时,默认值为umask为0027。您可以在容器启动过程中运行"-exec-optnative.umask=normal"命令,将值恢复为0022。

具体官网参考链接(https://gitee.com/openeuler/docs/pulls/2267.diff)

2.2 麒麟软件包的来源是沿用欧拉上游社区

麒麟源里面的docker-engine沿用的openeuler的包,所以默认的容器umask值是0027。

三 本地测试

更新到docker-engine-18.09.0-202.p02.ky10.x86_64版本及以上 将umask默认值改回了0022,该包在SP2对应架构的updates yum源中。

bash 复制代码 
X86 yum更新源链接:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/
aarch64 yum更新源链接:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/

四 问题解决

4.1 方案一 添加--exec-opt native.umask=normal参数

4.1.1 编辑/etc/sysconfig/docker文件
bash 复制代码 
vim /etc/sysconfig/docker
将OPTIONS='--live-restore'
改为如下内容:
OPTIONS='--live-restore --exec-opt native.umask=normal'
4.1.2 重载服务
bash 复制代码 
systemctl daemon-reload
4.1.3 重启docker服务
bash 复制代码 
systemctl restart docker

4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64

4.2.1 执行升级命令
bash 复制代码 
rpm -Uvh docker-engine-18.09.0-202.p02.ky10.x86_64.rpm
4.2.2 重载服务
bash 复制代码 
systemctl daemon-reload
4.2.3 重启docker服务
bash 复制代码 
systemctl restart docker

#说明一:runc在docker-engine软件包中自带

#说明二:建议用升级软件包的方式解决,并先行在测试环境测试

#说明三:

相关推荐
迎風吹頭髮19 分钟前
Linux服务器编程实践26-TCP连接超时重连机制:超时时间计算与重连策略
服务器·网络·php
@realXuan21 分钟前
实践 3:Vim 编辑器的使用
linux·vim
wanhengidc1 小时前
什么是站群服务器
运维·服务器·网络·游戏·智能手机
deng-c-f1 小时前
Linux C/C++ 学习日记(24):UDP协议的介绍:广播、多播的实现
linux·网络·学习·udp
爱宇阳1 小时前
GitLab Docker Compose 迁移教程
docker·容器·gitlab
爱吃甜品的糯米团子1 小时前
Linux 学习笔记之 VI 编辑器与文件查找技巧
linux·笔记·学习
琦琦琦baby1 小时前
VRRP技术重点总结
运维·网络·智能路由器·vrrp
筑梦之路2 小时前
深入linux的审计服务auditd —— 筑梦之路
linux·运维·服务器
陈说技术2 小时前
服务器CPU达到100%解决思路
运维·服务器
热门推荐
01两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答02BongoCat - 跨平台键盘猫动画工具03GitHub 镜像站点04GitLab 零基础入门指南:从安装到项目管理全流程05UV安装并设置国内源06Linux下V2Ray安装配置指南07Labelme从安装到标注:零基础完整指南0846个Nano-banana 精选提示词,持续更新中09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10UV 工具安装与国内镜像源配置指南