修复 docker 挂载 volume 提示 Permission denied 的所有方法,包括不关闭 SELinux

已于 2022-05-24 10:42:02 修改
阅读量9.2k 收藏 9
点赞数 4
CC 4.0 BY-SA版权
分类专栏: docker 文章标签: docker volume premission denied selinux
于 2020-04-15 12:27:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kunyus/article/details/105531854

现象

将主机上的目录挂载到docker容器中后,访问挂载的文件出现如下的提示:

[root@localhost ~]#docker run --rm -ti -v /root/.ssh/:/root/.ssh/ alpine
/ # ls ~/.ssh/
ls: can't open '/root/.ssh/': Permission denied

原因

当使用SELinux 来控制容器中的进程时。
docker 默认情况下使用 system_u:system_r:svirt_lxc_net_t:s0 标签运行。
svirt_lxc_net_t 类型只允许 读取 & 执行 /usr 下的大多数内容,其他更多的文件内容是不允许的。

解决办法

目前至少有以下三种方式解决挂载的目录没有权限的问题:

  1. 修改文件安全性标签
  2. 关闭 SELinux
  3. 使用特权容器

下面分别介绍具体三种解决办法

1. 修改文件安全性标签

修改文件安全性标签也有两种方式,分为手动和自动添加。

1.1 自动添加

新版本 docker 命令已经支持在启动时通过 -v 参数自动修改挂载对象的安全性标签了,具体使用方式为给-v 参数最后加上:z参数。

比如上面的命令修改成:

docker run --rm -ti -v /root/.ssh:/root/.ssh:z alpine

注意:-v 参数加上 :Z时,大写的Z和小写的Z是两个参数,产生的效果不同。(感兴趣的可以搜索多类别安全性(MCS)标签进一步了解)

1.2 手动添加

通过执行 chcon -Rt svirt_sandbox_file_t /root/.ssh 来修改安全性标签

[root@localhost ~]# chcon -Rt svirt_sandbox_file_t /root/.ssh
[root@localhost ~]# ls -Z /root/.ssh
-rw-------. root root unconfined_u:object_r:container_file_t:s0 authorized_keys

如果提示chcon: can't apply partial context to unlabeled file 的话,执行下面这行命令后重新执行上面的命令就好了

[root@localhost ~]# chcon -R -h system_u:object_r:xxxx_t:s0 /root/.ssh

chcon 命令使用方法:

# 更改安全性文本的格式如下
chcon [-R] [-t type] [-u user] [-r role] 文件或者目录

选顷不参数: 
-R  :连同该目录下癿次目录也同时修改; 
-t  :后面接安全性本文的类型字段!例如 httpd_sys_content_t ; 
-u  :后面接身份识别,例如 system_u; 
-r  :后面街觇色,例如 system_r

2. 关闭 Selinux

关闭 SELinux 有两种关闭方式。

2.1 临时关闭
第一种是临时关闭,通过执行下面的命令就可以关闭,但是机器重启会恢复成原来的状态。

setenforce 0

2.2 永久关闭
第二种通过修改 selinux 配置文件 etc/selinux/config的方式,将文件中的 SELINUX=enforcing 改为 SELINUX=disabled后保存后退出即可。
更改后的内容如下:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

此时当前selinux防火墙的安全策略仍为Enforcing,配置文件不是即时生效的,需要重启才能生效。

3. 使用特权容器

在运行容器的时候,给容器加上 --privileged=true 参数就可以启动一个特权容器

docker run -i -t -v /soft:/soft --privileged=true 686672a1d0cc /bin/bash
CentOS中Docker以读写方式挂载volume时出现Permission denied问题的解决方法
LogicGuruX的博客
08-13 867
通过更改主机上目录或文件的权限、使用与容器内用户相匹配的用户标识、调整SELinux设置和检查Docker配置文件等方法,我们可以解决这个问题,确保容器能够以读写方式访问挂载volume。而在一些情况下,主机上的目录或文件的权限设置允许非root用户进行读写操作,导致在容器中以读写方式挂载volume时出现Permission denied问题。然后,我们可以通过在主机上创建一个与容器内用户相匹配的用户,并将目录或文件的所有权交给该用户,以及将目录或文件的权限设置为允许所有用户进行读写操作。
CentOS中Docker以读写方式挂载卷报Permission denied问题
TechGlide的博客
09-21 496
在使用Docker时,经常需要将主机上的目录或文件挂载Docker容器中,以便容器可以访问这些资源。然而,在CentOS中使用Docker时,有时可能会遇到以读写(rw)方式挂载卷时出现"Permission denied"的问题。在CentOS中使用Docker时,如果以读写方式挂载卷时遇到"Permission denied"错误,您可以通过设置正确的SELinux标签或禁用SELinux来解决这个问题。请注意,禁用SELinux可能会降低系统的安全性,请在决定禁用之前仔细考虑。
CentOS7.4中Docker以rw方式挂载volumePermission denied的解决思路
晨曦蜗牛
06-07 3940
一、问题背景 今天在CentOS7.4.1708上实践Docker挂载volume,一切按照正常流程进行操作,无论是创建目录、创建文件、还是查看、编辑主机上创建好的文件,都报“Permission denied”,具体如下: [root@ChatDevOps ~]# docker run -it -v /data/chatdevops:/data/webapp:rw ubuntu /bin...
Docker 容器启动报错“permission denied”原因及解决方案详解
最新发布
gs80140的专栏
05-28 1839
Docker容器启动时出现"permission denied"错误通常是由于挂载的本地脚本缺少执行权限。本文分析了当映射本地entrypoint.sh脚本到容器时出现权限拒绝问题的原因,并提供了简明解决方案:只需在本地使用chmod +x ./entrypoint.sh命令为脚本添加执行权限,然后重新启动容器即可。文章还建议在团队协作或CI/CD环境中提前处理好脚本权限,避免此类常见但易忽视的问题。通过正确处理文件权限,可确保容器顺利启动运行。
Docker挂载主机目录Docker访问出现Permission denied的解决办法
热门推荐
rznice的专栏
08-10 7万+
Docker挂载主机目录Docker访问出现Permission denied的解决办法
Docker容器挂载主机目录访问出现Permission denied的解决办法
weixin_34221036的博客
03-13 2018
Docker挂载主机目录,访问相应的文件出现Premission denied的权限访问问题 挂载后,查看相应的文件出现如下的提示: [root@ba471da26d07 soft]# lsls: cannot access jdk-8u102-linux-x64.tar.gz: Permission deniedhadoop-2.7.2.tar.gz jdk-8u102-linux-x64...
docker 中使用mount命令报错:mount: permission denied
liurizhou的博客
04-23 1万+
工作中需要在docker容器中执行该命令: chroot /tmp/rootxxx.FCn/tmp_root_fs mount -t proc proc /proc 执行会报错: mount: permission denied 解决方法:在dockerrun启动容器时加上--privileged docker run -v /home/liurizhou/temp:/hom...
关于docker-compose的volume映射发生Permission denied的解决
Wilson的博客
04-22 1万+
背景 使用docker-compose命令加载redis官方镜像实例时,映射的卷发生Permission denied错误,如图 docker-compose.yml 可以看到,我将目录里的data/redis文件夹与实例里的/data进行映射 version: '3' services: redis: image: redis:alpine container...
Docker -v 对挂载的目录没有权限 Permission denied
专注基础架构领域
05-27 3010
原文地址:https://blog.youkuaiyun.com/u012326462/article/details/81038446 情况描述 今天在使用 docker run -d -p 9091:8080 -v /home/xuhaixing/docker/tomcat/webapps/:/usr/local/tomcat/webapps/ --name managertomcat x...
解决docker日志挂载的问题
01-08
关键看这里吧(Permission denied), 一直没有看正方,以为是配置日志文件 找到有问题,下面是部分异常 10:35:09,498 |-ERROR in ch.qos.logback.core.rolling.RollingFileAppender[FILE] - openFile(null,...
CentOS7.4中Docker以rw方式挂载volumePermission denied问题
隔壁老瓦的专栏
09-30 2277
一、问题背景 今天在CentOS7.4.1708上实践Docker挂载volume,一切按照正常流程进行操作,无论是创建目录、创建文件、还是查看、编辑主机上创建好的文件,都报"Permission denied",具体如下: [root@ChatDevOps ~]# docker run -it -v /data/chatdevops:/data/webapp:rw ubuntu /bin/b...
docker中mount: permission denied
佳佳鸽的博客
07-15 6317
在RK平台开发中使用到docker,尝试在docker中映射宿主机的设备,并对设备进行控制。 docker run -t -d --name test001 --device=/dev/sda1 ubuntu:16.04 宿主机上插入U盘后,调用命令fdisk -l可以查看到U盘设备/dev/sda1, 那么在开启docker镜像时,加入参数添加设备--device=/dev/sda1 如果重启docker容器时,U盘被拔出,则会提示没有设备/dev/sda1 很高兴,这表明了通过--device添加设备
docker 容器运行出现permission denied
bee-factory
09-28 5万+
容器使用docker run -v hostvolume:dockervolume,采用这种方式运行如果出现permission denied是因为宿主机的当前运行用户和docker容器里面的运行用户一致导致访问权限问题。 解决办法: 1、使docker里面的运行用户和宿主一样,运行命令 docker run -u root,docker u参数可以指点以哪个用户运行。 2、在宿主机里面创...
ubuntu 运行 dockerpermission denied
yanxin9210的专栏
05-20 2230
在 ubuntu 中运行 docker 命令时,如果是 root 用户,会提示permission denied,解决办法如下: 检查是否有 docker group $ sudo groupadd docker 将当前用户加到 docker group 中 $ sudo usermod -aG docker $USER 最后运行如下命令,如果还能使用,就需要注销下当前用户再重新登录或者直接重启 $ newgrp docker ...
【问题解决】docker中创建volume时,无访问权限
weixin_34110749的博客
09-26 1308
挂载宿主机已存在目录后,在容器内对其进行操作,报“Permission denied”。 可通过两种方式解决: 1> 关闭selinux。 临时关闭:# setenforce 0 永久关闭:修改/etc/sysconfig/selinux文件,将SELINUX的值设置为disabled。 2> 以特权方式启动容器 指定--privileged参数 如:# docker run -it ...
Docker遇到permission denied
weixin_45496950的博客
01-19 3915
这个错误通常发生在非特权用户尝试使用 Docker 命令时。默认情况下,Docker 守护进程绑定到 UNIX 套接字。如果你仍然遇到相同的权限问题,请确保 Docker 守护进程正在运行。,只有 root 用户和 docker 组的成员才能访问该套接字。来运行 Docker 命令可能会涉及到特权操作,因此请谨慎使用。文件的权限设置正确。此外,你还可以尝试在使用 Docker 命令时使用。退出当前终端并重新登录,以便更新用户组的权限。如果问题仍然存在,请确保。
Dockerfile 启动容器时出现的问题--permission denied
weixin_42220452的博客
07-09 1048
如果你通过 -v 将scripts/ 映射到容器中了,那么需要保证 你Dockerfile中COPY (COPY --chmod=755 scripts/* ./)到容器的文件和你映射的文件必须是同一个文件。否则依旧会报 permission denied错误。具体来说 我想要通过容器workdir 下的scripts/start.sh脚本启动容器,那么在构建容器的文件夹下首先需要存在 scripts这个文件夹,并且scripts文件夹下还要存在start.sh这个文件。然后在Dockerfile中填写。
报错dockerpermission denied
balabala_333的博客
12-13 2171
执行docker命令时:docker ps。
Docker容器里没有权限执行命令,提示Permission denied
我的博客
07-19 7414
只修改Dockerfile一次,用每次修改。方法二:Dockerfile设置权限。方法一:root进入容器。
用户使用docker 提示permission denied
01-15
### 解决 Docker 权限被拒绝问题 当遇到 `permission denied` 错误时,通常是由于当前用户缺乏必要的权限来访问 Docker 套接字 `/var/run/docker.sock` 或者容器内的文件系统。以下是几种常见的解决方案: #### 方法一:调整 Docker 套接字权限 对于所有用户都需要使用 Docker 的情况,可以修改 Docker 套接字的权限设置为 666,使得任何用户都能对其进行读写操作。 ```bash sudo chmod 666 /var/run/docker.sock ``` 这种方法简单直接,但存在安全隐患,因为这会让所有本地用户都能够控制 Docker 守护进程[^1]。 #### 方法二:创建并加入 Docker 用户组 更为安全的做法是创建一个新的名为 `docker` 的用户组,并将需要使用的用户添加进去。这样只有特定用户才能管理 Docker。 ```bash sudo groupadd docker # 添加用户组 sudo gpasswd -a ${USER} docker # 将当前用户添加至用户组 newgrp docker # 更新用户组 ``` 完成上述配置后,重新启动终端或注销再登录即可生效[^2]。 #### 方法三:更改容器内部用户的默认身份 如果是在容器内遇到了权限足的情况,则可以在执行命令时指定以 root 身份运行,从而获得更高的权限级别。 ```bash docker exec -it --user=root <container_id> /bin/sh ``` 此方式适用于那些确实需要更高权限的操作场景下[^3]。 #### 方法四:赋予宿主机目录适当权限 有时也会碰到试图从宿主机进入已挂载到容器中的某个路径却遭遇权限错误的情形。此时应该确保该路径下的文件夹拥有足够的权限供目标用户访问。 ```bash sudo chmod -R 777 /path/to/host/directory ``` 请注意这样做可能会带来潜在的安全风险,在生产环境中应谨慎考虑是否采用这种做法[^5]。 #### 方法五:启用特权模式与禁用 SELinux 某些情况下可能还需要进一步放宽限制条件,比如通过开启 `-privileged=true` 参数允许容器享有更多底层资源访问权;或者是暂时停用 SELinux 政策以便绕过其强加的各种约束。 ```bash docker run -i -t -v /soft:/soft --privileged=true <image_id> /bin/bash setenforce 0 # 关闭SELinux强制模式(需root权限) ``` 过这些措施同样涉及到安全性折衷的问题,因此建议仅在必要时候才采取相应行动[^4]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值