Rob*_*ent 8 linux cron docker alpine-linux
我在 Alpine Linux 上运行非 root crontab 文件时遇到了麻烦。
我已经阅读了另外两个与 cron 相关的帖子,但我没有答案:
https://askubuntu.com/questions/23009/why-crontab-scripts-are-not-working
https://serverfault.com/questions/449651/why-is-my-crontab-not-working-and-how-can-i-troubleshoot-it
这是设置。
我的 crontab 看起来像这样:
PATH=/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/opt/aws/bin:/home/ec2-user/bin
SHELL=/bin/bash
* * * * * /opt/monitor/monitor.sh >> /var/log/monitor.log 2>&1
0 3 * * * /opt/monitor/monitor-log-clean.sh >> /var/log/monitor.log 2>&1
我的 Dockerfile 现在有点乱,但这只是因为我一直在拼命尝试解决这个问题。它看起来像这样。简而言之,我为 crontab -e 添加 SUID 以作为其他用户工作,我创建我的用户,我导入我的 crontab 文件,然后我为我能想到的所有内容提供权限。
FROM alpine:3.5
# DEPENDENCY TO ALLOW USERS TO RUN crontab -e
RUN apk add --update busybox-suid
# I LIKE BASH
RUN apk --no-cache add bash bash-doc
RUN apk --no-cache add util-linux pciutils usbutils coreutils binutils findutils grep
#... lots of custom stuff ...
# CREATE USER
RUN adduser -S robuser && \
mkdir -p /home/robuser
# ADD ENTRY POINT
ADD src/entrypoint.sh /home/robuser/entrypoint.sh
# GIVE MY USER ACCESS
RUN mkdir /etc/cron.d
RUN echo "robuser" > /etc/cron.allow
RUN echo "" >> /etc/cron.allow
RUN chmod -R 644 /etc/cron.d
# ADD MY CRONTAB
RUN mkdir -p /var/spool/cron/crontabs
ADD ./src/crontab.conf /tmp/cloudwatch/crontab.conf
RUN crontab -u robuser /tmp/cloudwatch/crontab.conf
# DEBUG... GIVE MY USER ACCESS TO EVERYTHING
RUN chown -R robuser /etc/cron.d
RUN chmod -R 755 /etc/cron.d
RUN chown -R robuser /var/spool/cron
RUN chmod -R 744 /var/spool/cron
RUN chown robuser /var/spool/cron/crontabs
RUN chmod 744 /var/spool/cron/crontabs
RUN chown -R robuser /etc/crontabs
RUN chmod -R 744 /etc/crontabs
RUN chown robuser /etc/crontabs/robuser
RUN chmod -R 744 /etc/crontabs/robuser
RUN chmod 600 /var/spool/cron/crontabs/robuser
# ADD MY MONITORING PROGRAM
RUN mkdir -p /opt/monitor
ADD src/monitor /opt/monitor
RUN mkdir -p /opt/monitor/.tmp && \
chown -R robuser /opt/monitor && \
chmod -R 700 /opt/monitor
RUN touch /var/log/entrypoint.log && \
touch /var/log/monitor.log && \
touch /var/log/cron.log && \
touch /var/log/awslogs.log && \
chown -R robuser /var/log
USER robuser
ENTRYPOINT /home/robuser/entrypoint.sh
同时,我的 entrypoint.sh 在它的某个地方有这个。我将 cron 守护进程作为后台服务启动并详细记录到 cron.log。我还尝试指定 -d 0 以获得更多调试,但并没有真正向输出添加任何内容。
#!/bin/bash
crond -b -l 0 -L /var/log/cron.log
#... lots of other startup stuff ...
重要的一点:如果我不切换到robuser,那么作为 root 一切正常。
如果我检查cron.log,它非常空:
crond: crond (busybox 1.25.1) started, log level 0
crond: wakeup dt=45
crond: wakeup dt=60
crond: wakeup dt=60
同时,/var/log/monitor.log 是完全空的(参见文章开头的 crontab)。
所以 crond 没有打印任何错误。
我已经尝试了我能想到的一切来调试这个。没有错误信息。它只是运行,从不打印。一个很好的建议是简单地使用我的 crontab .. 但这也不起作用:
PATH=/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/opt/aws/bin:/home/ec2-user/bin
SHELL=/bin/bash
* * * * * touch /tmp/test.txt
我试过寻找其他使用非 root cron 的 alpine 容器,但大多数人不会遇到让他们的 alpine 容器非 root 运行的麻烦。
有没有人有任何进一步的建议来帮助调试?
cronroot无论您想使用哪个用户来运行作业,它本身都应该作为运行。
事实上,当你运行时:
RUN crontab -u robuser /tmp/cloudwatch/crontab.conf
这将为crontab用户安装一个robuser。当cron从这个特定执行作业时crontab,它会自动将用户切换到robuser. 但是,cron如果它不是以 身份运行,则不能像这样切换用户root,这就是您需要以cronroot身份运行的原因。
因此,要在cron这里工作,您需要从 Dockerfile 中删除此指令:
USER robuser
请注意,一旦您解决了这个问题,您可能不会摆脱困境:如果您使用环境变量将 AWS 凭证传递给您的监控脚本(似乎您在这里使用的是 AWS),这将不起作用,因为cron将在切换用户之前删除那些。这在很大程度上是一项安全功能,cron可避免环境变量泄露给非特权用户。
顺便说一句:我写了一个开源 crontab运行程序Supercronic,专门为容器用例设计,它修复了这个问题(你可以作为非特权用户运行它就好了)。如果您对常规感到沮丧cron,您可以随时尝试。