docker 非root用户修改mount到容器的文件出现“Operation not permitted
使用环境centos7 x86-64 内核版本4.19.9
docker使用非root用户启动,daemon.json配置文件内容如下:
# cat daemon.json
{
"userns-remap":"dockertest"
}
映射的user和group均为如下值
dockertest::
启动方式为
docker run -itd -v /mnt:/mnt centos:latest /bin/sh
进入容器,在/mnt目录下进行修改文件属性的操作,出现如下错误(此时容器中的user id=0)
# chmod test.sh
chmod: changing permissions of 'test.sh': Operation not permitted
解决思路
首先在host上关闭SELinux的MAC功能,排除干扰
# setenforce
查看容器init进程映射到root namespace的进程(pid=54958,即容器的/bin/sh进程)的capabilities,可以看到是有chown权限的(cap_fowner),但仍然无法修改文件的DAC属性。
# getpcaps
Capabilities for `': = cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap+eip
容器上查看该文件的信息可以看到文件的用户和组的id都是 65534 ,该UID被称为unmapped user id,定义在/proc/sys/kernel/overflowuid中,是默认的UID(GID)。
sh-4.2# ls -al
total 0
drwxr-xr-x. 2 65534 65534 21 Dec 18 08:49 .
drwxr-xr-x. 1 root root 29 Dec 18 06:40 ..
-rw-r--r--. 1 65534 65534 0 Dec 18 08:49 test.sh
命名空间的root用户所拥有的权限主要看该命名空间所映射到root namespace的uid和gid的范围,在docker上查看init进程映射到root namespace的uid范围,可以看到根进程映射到231072,最大映射的uid为231072+65536。因此该容器拥有root namespace下uid为 [231072,231072+65536]范围内的资源操作权限
# cat /proc//uid_map
解决方法:
一种解决方法就是修改root namespace下/mnt的属性,让其成为容器中root 用户对应的uid,即231072
# chown : test.sh
容器内查看该文件,可以看到其变为了root:root,这样就可以修改test.sh的权限了
# ls -al
total
drwxr-xr-x. Dec : .
drwxr-xr-x. root root Dec : ..
-rw-r--r--. root root Dec : test.sh
根据上述配置,容器的root用户拥有root namespace下uid [231072,231072+65536]范围内的资源操作权限,因此也可以在root namespace下将test.sh修改为 [231072,231072+65536]的任意值,比如使用"chown 236072:236072 test.sh"将用户和组都修改为231072+5000=236072,可以看到test.sh的用户和组变为了5000:5000,此时同样在容器内部可以修改test.sh
sh-4.2# ls -al
total
drwxr-xr-x. Dec : .
drwxr-xr-x. root root Dec : ..
-rw-r--r--. Dec : test.sh
当然也可以在docker run 的参数中使用--privileged,这样docker的不会创建新的user namespace,以系统root用户执行操作
- 当程序执行对文件(目录)的操作时,其进程的EUID必须与文件(目录)的EUID保持一致,上述的test.sh是由root namespace的root用户创建的,因此其EUID=0。查看容器init进程的信息,如下,其在root namespace中的EUID为231072,因此无法操作root namespace中EUID为0的文件,使用上述解决方法将其配置为相同的值就可以解决问题
[root@localhost mnt]# ps -ef|grep /bin/sh
: pts/ :: /bin/sh
从上面可以看出,在有capabilities支持的系统上,一个进程对一个文件的操作需要看这个进程是具有这项能力(capabilities),其次需要看其是否有该文件的操作权限(effective user id)。下文参见capabilities,意思是说当一个进程访问文件的时候,进程的uid和gid会映射到初始的user namespace,来验证该程序是否有权限操作该文件;当一个程序获取到文件的uid和gid,文件的uid和gid会映射到程序所在的user namespace。
When a process accesses a file, its user and group IDs are mapped into the initial user namespace for the purpose of permission checking and assigning IDs when creating a file.
When a process retrieves file user and group IDs via stat(), the IDs are mapped in the opposite direction, to produce values relative to the process user and group ID mappings.
TIPS:
- docker默认启动是不会创建user namespace的
- 如果需要把docker数据持久化,最好使用docker volumes的方式,bind mount由于需要有操作host系统目录的权限,会存在权限风险
docker 非root用户修改mount到容器的文件出现“Operation not permitted的更多相关文章
- 【出错记录】Tomcat非root用户启动无法拥有权限读写文件
简单记录下,如有必要,将深入补充: 一.非root用户运行Tomcat及原因 由于项目中,为了安全需要,Tomcat将禁止以root形式启动,原因很简单,举个例子,一旦有人恶意将jsp文件透过某个别的 ...
- EasyHLS直播在Linux非root用户运行时出现无法写文件的问题解决mkdir 0777
今天在Github上收到一个用户反馈的EasyHLS在linux上非root用户调用时,无法写目录的问题:https://github.com/EasyDarwin/EasyHLS/issues/3, ...
- Docker非root用户使用
Docker 用户管理 安装Docker后docker相关命令都需要加上sudo才能执行,这里为特定用户添加下权限 Docker群组 不过一般安好docker后该群组已创建 sudo groupadd ...
- linux centos7 非root用户安装源码版docker
注意:非root用户必须要有sudo权限 一.安装前的准备 1.查看当前主机是否有docker组 若没有输出结果则新建 再次查看,发现已经有了docker组 2.新增拥有sudo权限的用户(若知道ro ...
- 二进制方式安装docker(非root用户启动docker)
二进制方式安装docker(非root用户启动docker) 一.下载安装包: 地址:https://download.docker.com/linux/static/stable/x86_64/ 这 ...
- Linux 下非root用户使用docker
Linux 下非root用户使用docker 通常我们使用linux系统的时候,最好是不要直接使用root账号,但是使用Docker的时候,默认又是不能使用非root用户的,关于原因,官方说法如下: ...
- Docker 为非root用户授权
Docker 为非root用户授权: 当运行docker pull busybox时候,会提示sky用户无法调用docker. 那么应该把sky用户加入docker用户组,不过在添加的时候,又提示了如 ...
- centos6.5下修改系统的roo用户/非root用户的密码
1.修改系统root用户的密码 [........~]# passwd然后输入新密码,若提示密码太简单,无需理会,直接敲回车: 然后再次输入新密码,即可修改成功. 2.修改系统非root用户的密码:e ...
- Centos6.3 下使用 Tomcat-6.0.43 非root用户 jsvc模式部署 生产环境 端口80 vsftp
一.安装JDK环境 方法一. 官方下载链接 http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260 ...
随机推荐
- C++编译器详解(三)函数调用的区别:_cdecl以及_stdcall
1._stdcall是Pascal程序的缺省调用方式,通常用于Win32 API中,函数采用从右到左的压栈方式,自己在退出时清空堆栈.VC将函数编译后会在函数名前面加上下划线前缀,在函数名后加上&qu ...
- Java数组、集合
Vector类 类似C#的ArrayList.可扩展的数组,带有一些特定方法 Hashtable类 与C#的类似 Enumeration接口 类似C#的枚举器
- UIImageView的frame设置(4种方式)
查看图片宽高后,再去设置UIImageView的frame.(不推荐) 用代码自动获取图片的宽高来设置UIImageView的frame: 创建UIImageView的同时,直接设置UIImageVi ...
- 《mysql必知必会》学习_第六章_20180730_欢
第六章<过滤数据> P35 1. select prod_name,prod_price from products where prod_price=2.5; 2.select prod ...
- php开发工具,zendstudio13使用方法补丁
官网原版下载http://downloads.zend.com/studio ... win32.win32.x86.exe 破解补丁:链接:http://pan.baidu.com/s/1gdi4U ...
- eclipse 离线安装插件报cannot perform operation.Computing alternate solutions...解决办法
当不能连接外网,离线安装SVN插件时,可能会发现以下问题:eclipse长时间停留在下图所示状态,提示“cannot perform operation.Computing alternate sol ...
- [leet code 4] Median of Two Sorted Arrays
1 题目 There are two sorted arrays A and B of size m and n respectively. Find the median of the two so ...
- 【BZOJ3545】 [ONTAK2010]Peaks
BZOJ3545 [ONTAK2010]Peaks Solution 既然会加强版,直接把强制在线的操作去掉就好了. 代码实现 #include<stdio.h> #include< ...
- 16_python_面向对象
一.面向对象和面向过程的区别 1.面向对象:一切以对象为中心.有相同属性和动作的结合体叫做对 优点:易维护.易复用.易扩展,由于面向对象有封装.继承.多态性的特性 ...
- 【翻译】 Windows 内核漏洞学习—空指针解引用
Windows Kernel Exploitation – NullPointer Dereference 原文地址:https://osandamalith.com/2017/06/22/windo ...