银河麒麟高级服务器操作系统V10SP2(X86|ARM)docker-engine软件导致容器umask值为0027而不是0022处理方法

熊082024-06-29 19:55

银河麒麟高级服务器操作系统V10SP2(X86|ARM)docker-engine软件导致容器umask值为0027而不是0022问题分析

    • [一 系统环境](#一 系统环境)
    • [二 问题原因](#二 问题原因)
      • [2.1 欧拉官网给出的解释](#2.1 欧拉官网给出的解释)
      • [2.2 麒麟软件包的来源是沿用欧拉上游社区](#2.2 麒麟软件包的来源是沿用欧拉上游社区)
    • [三 本地测试](#三 本地测试)
    • [四 问题解决](#四 问题解决)
      • [4.1 方案一 添加--exec-opt native.umask=normal参数](#4.1 方案一 添加--exec-opt native.umask=normal参数)
        • [4.1.1 编辑/etc/sysconfig/docker文件](#4.1.1 编辑/etc/sysconfig/docker文件)
        • [4.1.2 重载服务](#4.1.2 重载服务)
        • [4.1.3 重启docker服务](#4.1.3 重启docker服务)
      • [4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64](#4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64)
        • [4.2.1 执行升级命令](#4.2.1 执行升级命令)
        • [4.2.2 重载服务](#4.2.2 重载服务)
        • [4.2.3 重启docker服务](#4.2.3 重启docker服务)

前言
1、runc二进制程序导致umask值变化,该二进制在在docker-engine软件包中自带
2、建议用升级软件包的方式解决,并先行在测试环境测试
3、SP1、SP2均有这个问题,SP1也需要升级到SP2 updates源里面的docker-engine-18.09.0-202.p02.ky10.x86_64版本及以上

一 系统环境

bash 复制代码 
[root@localhost ~]# nkvers 
############## Kylin Linux Version #################
Release:
Kylin Linux Advanced Server release V10 (Sword)

Kernel:
4.19.90-24.4.v2101.ky10.x86_64

Build:
Kylin Linux Advanced Server
release V10 (SP2) /(Sword)-x86_64-Build09/20210524
#################################################

二 问题原因

2.1 欧拉官网给出的解释

查看欧拉官网给出的说明:默认主容器进程和执行进程的umask值为0022。为了满足安全规范并防止容器受到攻击,将umask的默认值更改为在修改了runc实现之后,到0027。修改后,其他组无法访问新的文件或目录。

Docker启动容器时,默认值为umask为0027。您可以在容器启动过程中运行"-exec-optnative.umask=normal"命令,将值恢复为0022。

具体官网参考链接(https://gitee.com/openeuler/docs/pulls/2267.diff)

2.2 麒麟软件包的来源是沿用欧拉上游社区

麒麟源里面的docker-engine沿用的openeuler的包,所以默认的容器umask值是0027。

三 本地测试

更新到docker-engine-18.09.0-202.p02.ky10.x86_64版本及以上 将umask默认值改回了0022,该包在SP2对应架构的updates yum源中。

bash 复制代码 
X86 yum更新源链接:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/
aarch64 yum更新源链接:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/

四 问题解决

4.1 方案一 添加--exec-opt native.umask=normal参数

4.1.1 编辑/etc/sysconfig/docker文件
bash 复制代码 
vim /etc/sysconfig/docker
将OPTIONS='--live-restore'
改为如下内容:
OPTIONS='--live-restore --exec-opt native.umask=normal'
4.1.2 重载服务
bash 复制代码 
systemctl daemon-reload
4.1.3 重启docker服务
bash 复制代码 
systemctl restart docker

4.2 方案二 升级docker-engine到docker-engine-18.09.0-202.p02.ky10.x86_64

4.2.1 执行升级命令
bash 复制代码 
rpm -Uvh docker-engine-18.09.0-202.p02.ky10.x86_64.rpm
4.2.2 重载服务
bash 复制代码 
systemctl daemon-reload
4.2.3 重启docker服务
bash 复制代码 
systemctl restart docker

#说明一:runc在docker-engine软件包中自带

#说明二:建议用升级软件包的方式解决,并先行在测试环境测试

#说明三:

相关推荐
JuiceFS12 小时前
从 MLPerf Storage v2.0 看 AI 训练中的存储性能与扩展能力
运维·后端
CYRUS_STUDIO15 小时前
用 Frida 控制 Android 线程:kill 命令、挂起与恢复全解析
android·linux·逆向
熊猫李17 小时前
rootfs-根文件系统详解
linux
chen94517 小时前
mysql 3节点mgr集群部署
运维·后端
LH_R18 小时前
OneTerm开源堡垒机实战(三):功能扩展与效率提升
运维·后端·安全
dessler19 小时前
Hadoop HDFS-高可用集群部署
linux·运维·hdfs
泽泽爱旅行19 小时前
awk 语法解析-前端学习
linux·前端
少妇的美梦2 天前
logstash教程
运维
容器魔方2 天前
Bloomberg 正式加入 Karmada 用户组!
云原生·容器·云计算
chen9452 天前
k8s集群部署vector日志采集器
运维
热门推荐
01GitHub 镜像站点02UV 工具安装与国内镜像源配置指南03Claude Code 平替:OpenAI发布 Codex CLI ,GPT-5 国内直接使用04UV安装并设置国内源0546个Nano-banana 精选提示词,持续更新中06保姆级教程:手把手教你用Dify实现完美多轮对话(附Chatflow和提示词)07A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程08解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题09KGG转MP3工具|非KGM文件|解密音频10conda中设置镜像地址(附所有可换的地址)