从故障到修复：Vulhub环境中Docker与Cgroup v2的兼容性实战指南

从故障到修复：Vulhub环境中Docker与Cgroup v2的兼容性实战指南

【免费下载链接】vulhub 基于 Docker-Compose 的预构建易受攻击环境。 项目地址: https://gitcode.com/GitHub_Trending/vu/vulhub

问题背景：当Docker遇上Cgroup v2

作为安全研究人员的必备工具包，Vulhub通过Docker Compose实现了漏洞环境的"一键部署"。但随着Linux内核默认采用Cgroup v2（Control Group，控制组），许多用户在启动环境时遭遇了神秘的启动失败：容器反复重启、资源限制失效甚至宿主机CPU占用率飙升。本文将从问题分析到解决方案，提供完整的兼容性适配指南。

技术原理：新旧Cgroup的核心差异

Cgroup（控制组）是Linux内核提供的资源管理机制，目前存在v1和v2两个版本。主流Linux发行版如Ubuntu 22.04+、Debian 11+已默认采用Cgroup v2，其与Docker的兼容性问题主要体现在三个方面：

特性	Cgroup v1	Cgroup v2	Docker兼容性状态
层级结构	多棵独立树	单棵统一树	需Docker 20.10.0+支持
资源控制器	分散在各子系统	集中管理	部分控制器需显式启用
权限模型	宽松	严格的进程所有权检查	常导致权限拒绝错误

THE 0TH POSITION OF THE ORIGINAL IMAGE?type=png)

诊断流程：识别Cgroup兼容性问题

当Vulhub环境出现异常时，可通过以下步骤快速定位是否为Cgroup v2问题：

1. 检查宿主机Cgroup版本

   stat -fc %T /sys/fs/cgroup  # 输出cgroup2fs即表示使用v2
   

2. 分析容器启动日志

   docker compose logs -f  # 常见错误关键词：cgroup: permission denied、unsupported option
   

3. 检查Docker版本兼容性

   docker --version  # 需确保Docker版本≥20.10.0，推荐23.0.0+
   

以Confluence漏洞环境为例，典型的Cgroup v2错误日志如下：

confluence_1  | Error response from daemon: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: error during container init: error setting cgroup config for procHooks process: open /sys/fs/cgroup/cgroup.subtree_control: permission denied: unknown

解决方案：三种适配Cgroup v2的方法

方法一：修改Docker服务配置（推荐）

通过配置Docker使用systemd驱动并启用Cgroup v2支持，适用于Docker 20.10.0+版本：

1. 创建或编辑Docker配置文件

   sudo mkdir -p /etc/docker
   sudo tee /etc/docker/daemon.json <<EOF
   {
     "exec-opts": ["native.cgroupdriver=systemd"],
     "features": {
       "cgroupns": true
     }
   }
   EOF
   

2. 重启Docker服务

   sudo systemctl daemon-reload
   sudo systemctl restart docker
   

方法二：调整Docker Compose文件

对特定漏洞环境，可在其docker-compose.yml中添加Cgroup兼容性配置。以Apache Solr环境为例：

version: '2.4'  # 注意：v3+语法需额外配置
services:
  solr:
    image: vulhub/solr:8.2.0
    ports:
      - "8983:8983"
    cgroup_parent: /docker.slice  # 显式指定cgroup路径
    deploy:
      resources:
        limits:
          cpus: '0.5'
          memory: 512M
        reservations:
          memory: 256M

方法三：临时回退到Cgroup v1（不推荐）

修改内核启动参数可临时禁用Cgroup v2，但会失去新特性支持：

1. 编辑GRUB配置

   sudo sed -i 's/^GRUB_CMDLINE_LINUX_DEFAULT="/&systemd.unified_cgroup_hierarchy=0 /' /etc/default/grub
   sudo update-grub
   

2. 重启系统使配置生效

   sudo reboot
   

批量适配：Vulhub项目的全局解决方案

对于频繁使用多个漏洞环境的用户，可采用以下批量处理策略：

使用环境变量统一配置

在/etc/environment中添加全局变量：

DOCKER_CGROUP_PARENT=/docker.slice

自动化脚本修复工具

创建兼容性修复脚本tools/fix_cgroup_compatibility.sh：

#!/bin/bash
# 批量修复Vulhub环境的Cgroup v2兼容性问题

find . -name "docker-compose.yml" -exec sed -i \
  '/version:/a \  cgroup_parent: /docker.slice' {} \;

echo "已为所有Docker Compose文件添加Cgroup兼容配置"

案例分析：Apache Struts2环境修复实战

以Struts2 S2-061漏洞环境为例，完整的修复过程如下：

1. 原环境启动失败日志

   s2-061_1  | Error: Failed to create /sys/fs/cgroup/blkio/docker/.../cgroup.procs: No such file or directory
   

2. 修改后的docker-compose.yml

   version: '2.4'
   services:
     struts2:
       image: vulhub/struts2:2.5.26
       ports:
         - "8080:8080"
       cgroup_parent: /docker.slice
       environment:
         - "JAVA_OPTS=-Dorg.apache.catalina.connector.URI_ENCODING=UTF-8"
   

3. 验证修复效果

   cd struts2/s2-061
   docker compose up -d
   docker compose ps  # 确认容器状态为running
   

总结与展望

随着Linux生态系统全面转向Cgroup v2，Vulhub作为基于Docker的漏洞测试平台，其兼容性适配需要社区共同维护。建议用户：

• 保持Docker引擎版本在23.0.0以上
• 优先采用systemd作为Cgroup驱动
• 关注官方仓库的兼容性更新日志

未来，Vulhub项目可能会在基础镜像中内置Cgroup v2支持，彻底解决此类兼容性问题。如有更多适配经验，欢迎通过贡献指南参与项目改进。

附录：常用资源链接

• Docker官方Cgroup v2文档：Docker Cgroup v2支持说明
• Vulhub环境修复脚本：tools/cgroup-fix.sh
• 兼容性问题反馈模板：issues模板
• 社区讨论：Cgroup兼容性专题

【免费下载链接】vulhub 基于 Docker-Compose 的预构建易受攻击环境。 项目地址: https://gitcode.com/GitHub_Trending/vu/vulhub