银河麒麟高级服务器操作系统V10SP2(X86|ARM)docker-engine软件导致容器umask值为0027而不是0022处理方法

熊082024-06-29 19:55

银河麒麟高级服务器操作系统V10SP2(X86|ARM)docker-engine软件导致容器umask值为0027而不是0022问题分析

    • [一 系统环境](#一 系统环境)
    • [二 问题原因](#二 问题原因)
      • [2.1 欧拉官网给出的解释](#2.1 欧拉官网给出的解释)
      • [2.2 麒麟软件包的来源是沿用欧拉上游社区](#2.2 麒麟软件包的来源是沿用欧拉上游社区)
    • [三 本地测试](#三 本地测试)
    • [四 问题解决](#四 问题解决)
      • [4.1 方案一 添加--exec-opt native.umask=normal参数](#4.1 方案一 添加--exec-opt native.umask=normal参数)
        • [4.1.1 编辑/etc/sysconfig/docker文件](#4.1.1 编辑/etc/sysconfig/docker文件)
        • [4.1.2 重载服务](#4.1.2 重载服务)
        • [4.1.3 重启docker服务](#4.1.3 重启docker服务)
      • [4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64](#4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64)
        • [4.2.1 执行升级命令](#4.2.1 执行升级命令)
        • [4.2.2 重载服务](#4.2.2 重载服务)
        • [4.2.3 重启docker服务](#4.2.3 重启docker服务)

前言
1、runc二进制程序导致umask值变化,该二进制在在docker-engine软件包中自带
2、建议用升级软件包的方式解决,并先行在测试环境测试
3、SP1、SP2均有这个问题,SP1也需要升级到SP2 updates源里面的docker-engine-18.09.0-202.p02.ky10.x86_64版本及以上

一 系统环境

bash 复制代码 
[root@localhost ~]# nkvers 
############## Kylin Linux Version #################
Release:
Kylin Linux Advanced Server release V10 (Sword)

Kernel:
4.19.90-24.4.v2101.ky10.x86_64

Build:
Kylin Linux Advanced Server
release V10 (SP2) /(Sword)-x86_64-Build09/20210524
#################################################

二 问题原因

2.1 欧拉官网给出的解释

查看欧拉官网给出的说明:默认主容器进程和执行进程的umask值为0022。为了满足安全规范并防止容器受到攻击,将umask的默认值更改为在修改了runc实现之后,到0027。修改后,其他组无法访问新的文件或目录。

Docker启动容器时,默认值为umask为0027。您可以在容器启动过程中运行"-exec-optnative.umask=normal"命令,将值恢复为0022。

具体官网参考链接(https://gitee.com/openeuler/docs/pulls/2267.diff)

2.2 麒麟软件包的来源是沿用欧拉上游社区

麒麟源里面的docker-engine沿用的openeuler的包,所以默认的容器umask值是0027。

三 本地测试

更新到docker-engine-18.09.0-202.p02.ky10.x86_64版本及以上 将umask默认值改回了0022,该包在SP2对应架构的updates yum源中。

bash 复制代码 
X86 yum更新源链接:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/
aarch64 yum更新源链接:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/

四 问题解决

4.1 方案一 添加--exec-opt native.umask=normal参数

4.1.1 编辑/etc/sysconfig/docker文件
bash 复制代码 
vim /etc/sysconfig/docker
将OPTIONS='--live-restore'
改为如下内容:
OPTIONS='--live-restore --exec-opt native.umask=normal'
4.1.2 重载服务
bash 复制代码 
systemctl daemon-reload
4.1.3 重启docker服务
bash 复制代码 
systemctl restart docker

4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64

4.2.1 执行升级命令
bash 复制代码 
rpm -Uvh docker-engine-18.09.0-202.p02.ky10.x86_64.rpm
4.2.2 重载服务
bash 复制代码 
systemctl daemon-reload
4.2.3 重启docker服务
bash 复制代码 
systemctl restart docker

#说明一:runc在docker-engine软件包中自带

#说明二:建议用升级软件包的方式解决,并先行在测试环境测试

#说明三:

相关推荐
heartbeat..12 小时前
JVM 性能调优流程实战:从开发规范到生产应急排查
java·运维·jvm·性能优化·设计规范
小章UPUP12 小时前
Kubernetes (K8s) 与 Podman 的比较
容器·kubernetes·podman
忆~遂愿12 小时前
CANN metadef 核心解析:计算图原型定义、算子元数据抽象与异构系统互操作机制
docker·容器
小Tomkk12 小时前
数据库 变更和版本控制管理工具 --Bytebase 安装部署(linux 安装篇)
linux·运维·数据库·ci/cd·bytebase
赌博羊12 小时前
ImportError: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.32‘ not found
linux·运维·gnu
木卫二号Coding12 小时前
第七十九篇-E5-2680V4+V100-32G+llama-cpp编译运行+Qwen3-Next-80B
linux·llama
getapi12 小时前
Ubuntu 22.04 服务器的系统架构是否为 amd64 x86_64
linux·服务器·ubuntu
消失的旧时光-194313 小时前
Linux 入门核心命令清单(工程版)
linux·运维·服务器
艾莉丝努力练剑13 小时前
【Linux:文件】Ext系列文件系统(初阶)
大数据·linux·运维·服务器·c++·人工智能·算法
小天源13 小时前
Cacti在Debian/Ubuntu中安装及其使用
运维·ubuntu·debian·cacti
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03OpenClaw Chrome扩展使用教程 - 浏览器中继控制04Linux下V2Ray安装配置指南05使用 1panel面板 部署 php网站06UV安装并设置国内源07openclaw配置教程(linux+局域网ollama)08从零搭建一个 PHP 登录注册系统(含完整源码)09Vue-skills的中文文档10Claude Code Skills 实用使用手册