那些遇到过的问题

无法在 Docker 容器中执行二进制文件(“不允许操作”)

Jus*_*ory 3 bash centos rhel docker dockerfile

问题

我正在构建一个 Docker 容器(基于 RHEL),其中包含来自第三方存储库的自定义二进制文件。在容器中执行二进制文件时,我收到一个不起眼的错误:“ Operation not permitted”。

分析

Dockerfile

Dockerfile 相当简单。

FROM dockerregistry.example.com/rhel7:latest

RUN yum -y install \
    curl \
    custom-package && \
    curl -Lsq https://github.com/Yelp/dumb-init/releases/download/v1.2.0/dumb-init_1.2.0_amd64 > /sbin/dumb-init && \
    chmod 755 /sbin/dumb-init && \
    yum clean all

ADD custom-package.conf /etc/custom-package/custom-package.conf

ENTRYPOINT ["/sbin/dumb-init", "--"]
CMD ["/usr/local/custom-package/bin/custom-package", "--config", "/etc/custom-package/custom-package.conf"]
Run Code Online (Sandbox Code Playgroud)

塑造形象

我使用以下命令在我的工作站上构建并输入容器。

$ docker build -t custom-package:v1 .
$ docker run --security-opt seccomp:unconfined -d custom-package:v1 tail -f /dev/null
$ docker exec -it <image ID> /bin/bash
Run Code Online (Sandbox Code Playgroud)

“不允许操作”

一旦我进入图像,如果我尝试执行二进制文件,我会收到一个极其无用的错误。运行strace也会产生令人困惑的输出。在检查文件权限和元数据时,似乎没问题。

# /usr/local/telegraf/bin/telegraf
bash: /usr/local/telegraf/bin/telegraf: Operation not permitted

# strace -f /usr/local/telegraf/bin/telegraf
execve("/usr/local/telegraf/bin/telegraf", ["/usr/local/telegraf/bin/telegraf"], [/* 17 vars */]) = -1 EPERM (Operation not permitted)
write(2, "strace: exec: Operation not perm"..., 38strace: exec: Operation not permitted
) = 38
exit_group(1)                           = ?
+++ exited with 1 +++

# ls -l /usr/local/telegraf/bin/telegraf    
-rwxr-xr-x 1 telegraf telegraf 38664736 Jun  3 15:41 /usr/local/telegraf/bin/telegraf

# getcap -v /usr/local/telegraf/bin/telegraf
/usr/local/telegraf/bin/telegraf = cap_sys_rawio+ep
Run Code Online (Sandbox Code Playgroud)

我无法收集足够的信息来调试我的容器以及可执行二进制文件无法工作的原因。是否有什么明显错误的地方或者我会收到这样的无用错误的原因?

谢谢!

Ric*_*nco 6

SYS_RAWIO 功能需要--privileged访问设备的选项。请参阅功能(7)。

http://man7.org/linux/man-pages/man7/capability.7.html

   CAP_SYS_RAWIO
          * Perform I/O port operations (iopl(2) and ioperm(2));
          * access /proc/kcore;
          * employ the FIBMAP ioctl(2) operation;
          * open devices for accessing x86 model-specific registers (MSRs, see msr(4))
          * update /proc/sys/vm/mmap_min_addr;
          * create memory mappings at addresses below the value specified by /proc/sys/vm/mmap_min_addr;
          * map files in /proc/bus/pci;
          * open /dev/mem and /dev/kmem;
          * perform various SCSI device commands;
          * perform certain operations on hpsa(4) and cciss(4) devices;
          * perform a range of device-specific operations on other devices.
Run Code Online (Sandbox Code Playgroud)

  • 您可以使用 strace 查看它需要访问的设备,并使用 --device 传递设备,并使用 `--cap-add` 选项添加 sys_rawio 功能(也许还有其他功能)。最后,您可以使用 AppArmor/SELinux 和 seccomp 配置文件进一步锁定它。 (3认同)

归档时间:

查看次数:

6099 次

最近记录:

8 年,7 月 前
相关归档
带引号的bash正则表达式? 72
Docker Compose Mac 错误:无法启动服务 zoo1:安装被拒绝: 38
图像是否可以有多个标签? 32
Bash - 使用CRLF行结尾无缝运行脚本 12
maven安装后运行脚本 10
bash:在窗口的右端回显一些东西(右对齐) 9
如何在Amazon Elastic Beanstalk单容器Docker环境中运行Rails迁移和种子设定 9
如何从字符串中提取数字? 7
对于不引用可执行文件的命令,"which"相当于什么? 6
Docker:公开一系列端口 5
难疑归档
JavaScript闭包如何工作? 7644
如何正确克隆JavaScript对象? 2922
如何在Python中获取当前时间 2618
如何使用jQuery刷新页面? 2361
如何使div不大于其内容? 1960
如何在TextView中水平和垂直居中文本? 1932
为什么Python 3中的"1000000000000000在范围内(1000000000000001)"如此之快? 1890
什么是Android上的"上下文"? 1872
Facebook如何禁用浏览器的集成开发人员工具? 1652
为什么使用Redux而不是Facebook Flux? 1126