Docker容器启动时报错:container init caused “write /proc/self/attr/keycreate: permission denied““: unknown

本文介绍在Linux环境下使用Docker时遇到的permission denied错误,详细解析了错误产生的原因,并提供了两种解决方法:一是永久禁用SELINUX,需要重启服务器;二是临时更改SELINUX状态为permissive。适用于遇到类似Docker运行问题的技术人员。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 问题描述

1.1 报错完整信息
docker: Error response from daemon: OCI runtime create failed: container_linux.go:449;container init caused "write /proc/self/attr/keycreate: permission denied"": unknown.
1.2 报错背景
  • linux环境下使用离线方式(tgz安装包形式)安装docker
  • 使用了docker load < xx.tar导入镜像
  • 输入docker imagesdocker ps -a显示该镜像已正常导入,且已经通过docker run生成了容器

2 解决措施

如背景以及报错信息与问题描写基本一致,可以考虑如下解决方法

2.1 永久更改

需要重启服务器,慎重选用:

  1. 编辑config文件:vi /etc/selinux/config
  2. SELINUX=enforcing改为SELINUX=disabled
  3. 重启服务器
  4. 启动docker容器docker start container-id
2.2 临时更改
  1. 输入setenforce 0
  2. 启动docker容器docker start container-id

方法参考链接: 参考博客链接
### 解决方案 当遇到 `docker start container permission denied` 错误时,通常是因为 Docker 容器运行所需的某些资源或文件缺少必要的权限。以下是可能的原因以及解决方案: #### 1. 文件系统权限问题 如果宿主机上的某个文件夹被挂载到容器中作为卷(volume),而该文件夹的权限设置不正确,则可能导致此错误。可以通过调整文件系统的权限来解决问题。 ```bash chmod -R 775 /path/to/host/folder chown -R $USER:$USER /path/to/host/folder ``` 上述命令会更改指定路径下的文件和子目录的权限[^1]。 #### 2. WSL2 中的权限问题 在 Windows Subsystem for Linux (WSL2) 上使用 Docker 时,可能会因为文件系统之间的差异而导致权限问题。特别是通过 VSCode 编辑配置文件时可能出现类似的权限拒绝情况。可以尝试以下方法解决: - **修改默认用户组** 将当前用户的 UID 和 GID 映射至容器内部,从而避免因不同操作系统间用户 ID 不匹配引发的问题。 ```yaml version: '3' services: app: image: your_image_name user: "${UID}:${GID}" volumes: - ./your_project:/var/www/html ``` 此处 `${UID}` 和 `${GID}` 是环境变量,在实际部署前需替换为具体的数值或者动态解析这些值[^3]。 - **启用互操作模式** 如果正在使用 WSL2 并希望改善跨平台兼容性,可考虑开启互操作功能并重新安装最新版本的 Docker Desktop 应用程序[^2]。 #### 3. SELinux 或 AppArmor 配置冲突 有时安全模块如 SELinux/AppArmor 的策略也会阻止容器正常启动。临时禁用它们可以帮助判断是否与此类机制有关联。 对于 CentOS/RHEL 用户来说,执行如下指令即可关闭SELinux: ```bash setenforce 0 sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config ``` 而对于 Ubuntu 系统而言,默认启用了 AppArmor;要停用它则较为复杂一些,一般建议仅针对特定服务做例外处理而不是完全移除防护措施。 --- ### 示例代码片段 下面展示了一个简单的 Docker Compose YAML 文件例子,其中包含了之前提到的一些最佳实践: ```yaml version: '3.8' services: webserver: build: . ports: - "8080:80" restart: always environment: - TZ=Asia/Shanghai security_opt: - no-new-privileges:true cap_drop: - ALL read_only: true tmpfs: - /run - /tmp networks: - backend deploy: resources: limits: cpus: '0.50' memory: 512M networks: backend: ``` 以上定义的服务具有较高的安全性设定,同时减少了潜在风险点的发生几率。 ---
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值