银河麒麟高级服务器操作系统V10SP2(X86|ARM)docker-engine软件导致容器umask值为0027而不是0022处理方法

熊082024-06-29 19:55

银河麒麟高级服务器操作系统V10SP2(X86|ARM)docker-engine软件导致容器umask值为0027而不是0022问题分析

    • [一 系统环境](#一 系统环境)
    • [二 问题原因](#二 问题原因)
      • [2.1 欧拉官网给出的解释](#2.1 欧拉官网给出的解释)
      • [2.2 麒麟软件包的来源是沿用欧拉上游社区](#2.2 麒麟软件包的来源是沿用欧拉上游社区)
    • [三 本地测试](#三 本地测试)
    • [四 问题解决](#四 问题解决)
      • [4.1 方案一 添加--exec-opt native.umask=normal参数](#4.1 方案一 添加--exec-opt native.umask=normal参数)
        • [4.1.1 编辑/etc/sysconfig/docker文件](#4.1.1 编辑/etc/sysconfig/docker文件)
        • [4.1.2 重载服务](#4.1.2 重载服务)
        • [4.1.3 重启docker服务](#4.1.3 重启docker服务)
      • [4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64](#4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64)
        • [4.2.1 执行升级命令](#4.2.1 执行升级命令)
        • [4.2.2 重载服务](#4.2.2 重载服务)
        • [4.2.3 重启docker服务](#4.2.3 重启docker服务)

前言
1、runc二进制程序导致umask值变化,该二进制在在docker-engine软件包中自带
2、建议用升级软件包的方式解决,并先行在测试环境测试
3、SP1、SP2均有这个问题,SP1也需要升级到SP2 updates源里面的docker-engine-18.09.0-202.p02.ky10.x86_64版本及以上

一 系统环境

bash 复制代码 
[root@localhost ~]# nkvers 
############## Kylin Linux Version #################
Release:
Kylin Linux Advanced Server release V10 (Sword)

Kernel:
4.19.90-24.4.v2101.ky10.x86_64

Build:
Kylin Linux Advanced Server
release V10 (SP2) /(Sword)-x86_64-Build09/20210524
#################################################

二 问题原因

2.1 欧拉官网给出的解释

查看欧拉官网给出的说明:默认主容器进程和执行进程的umask值为0022。为了满足安全规范并防止容器受到攻击,将umask的默认值更改为在修改了runc实现之后,到0027。修改后,其他组无法访问新的文件或目录。

Docker启动容器时,默认值为umask为0027。您可以在容器启动过程中运行"-exec-optnative.umask=normal"命令,将值恢复为0022。

具体官网参考链接(https://gitee.com/openeuler/docs/pulls/2267.diff)

2.2 麒麟软件包的来源是沿用欧拉上游社区

麒麟源里面的docker-engine沿用的openeuler的包,所以默认的容器umask值是0027。

三 本地测试

更新到docker-engine-18.09.0-202.p02.ky10.x86_64版本及以上 将umask默认值改回了0022,该包在SP2对应架构的updates yum源中。

bash 复制代码 
X86 yum更新源链接:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/
aarch64 yum更新源链接:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/

四 问题解决

4.1 方案一 添加--exec-opt native.umask=normal参数

4.1.1 编辑/etc/sysconfig/docker文件
bash 复制代码 
vim /etc/sysconfig/docker
将OPTIONS='--live-restore'
改为如下内容:
OPTIONS='--live-restore --exec-opt native.umask=normal'
4.1.2 重载服务
bash 复制代码 
systemctl daemon-reload
4.1.3 重启docker服务
bash 复制代码 
systemctl restart docker

4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64

4.2.1 执行升级命令
bash 复制代码 
rpm -Uvh docker-engine-18.09.0-202.p02.ky10.x86_64.rpm
4.2.2 重载服务
bash 复制代码 
systemctl daemon-reload
4.2.3 重启docker服务
bash 复制代码 
systemctl restart docker

#说明一:runc在docker-engine软件包中自带

#说明二:建议用升级软件包的方式解决,并先行在测试环境测试

#说明三:

相关推荐
大树885 小时前
金刚石散热越强,管路越先见顶
大数据·运维·服务器·人工智能·ai
摇滚侠5 小时前
Linux CentOS7 rpm 安装 MySQL 5.7
linux·运维·mysql
霸道流氓气质5 小时前
领域驱动设计(DDD)在 Spring Boot 微服务中的实践指南
运维·spring boot·微服务
bush45 小时前
嵌入式linux学习记录十四、术语
linux·嵌入式
载数而行5206 小时前
Linux 11 动态监控指令top
linux
小宇宙Zz6 小时前
Maven依赖冲突
java·服务器·maven
Inhand陈工6 小时前
基于台达PLC与映翰通IG502的智慧水产养殖精准投喂与远程运维解决方案
运维·人工智能·物联网·阿里云·信息与通信
Alsn866 小时前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
酣大智7 小时前
ARP代理--工作原理
运维·网络·arp·arp代理
不会C语言的男孩7 小时前
Linux 系统编程 · 第 8 章:进程基础
linux·c语言
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06HTTP 与 HTTPS 的区别:从原理到实战详解072026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?08上线仅72小时被强制下架:Claude Fable 5 的短命09AI科技热点日报 | 2026年6月1日10Codex 下载安装指南:Windows 和 macOS 官方版下载