fork/exec /bin/sh: operation not permitted

最新推荐文章于 2025-09-04 12:16:36 发布
原创 最新推荐文章于 2025-09-04 12:16:36 发布 · 6.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fork/exec /bin/bash: operation

本文解决在Ubuntu18.04下使用Go语言执行sh命令时,因设置UID、Gid导致的operation not permitted错误。问题源于Linux内核3.19版本对user namespace的更新,通过正确映射UID、GID解决。

我在 ubuntu 18.04 系统下使用 go 语言执行 sh 命令,设置 uid、gid 报错

	cmd := exec.Command("sh")
	cmd.SysProcAttr = &syscall.SysProcAttr{
		Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID | syscall.CLONE_NEWNS | syscall.CLONE_NEWUSER | syscall.CLONE_NEWNET,
	}
	cmd.SysProcAttr.Credential = &syscall.Credential{Uid: uint32(0), Gid: uint32(0)}

错误:2018/11/30 14:12:37 fork/exec /bin/bash: operation not permitted

问题产生原因: https://github.com/xianlubird/mydocker/issues/3

Linux kernel 在 3.19 以上的版本中对 user namespace 做了些修改,程序应该改为如下写法:

	cmd := exec.Command("sh")
	cmd.SysProcAttr = &syscall.SysProcAttr{
		Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID | syscall.CLONE_NEWNS | syscall.CLONE_NEWUSER | syscall.CLONE_NEWNET,
		UidMappings: []syscall.SysProcIDMap{
			{
				ContainerID: 0,
				HostID:      0,
				Size:        1,
			},
		},
		GidMappings: []syscall.SysProcIDMap{
			{
				ContainerID: 0,
				HostID:      0,
				Size:        1,
			},
		},
	}

 

docker 中遇到fork/exec /bin/sh: operation not permitted错误
qq_41763749的博客
05-21 4385
在Docker中运行fork的go程序时 /* UTS Namespace主要用来隔离nodename和domainname两个系统标识。在UTS namespace里,每个namespace允许有自己的hostname。 系统API 中的clone()创建新的进程。根据填入的参数来判断哪些namesapce会被创建,而且它们的子进程也会被包含到这些namespace中。 */ package main import ( "os/exec" "syscall" "os" "log" ) fun
进程:execve加载流程
大昱的博客
08-06 620
execve函数用于装载一个可执行文件以进程为单位加载到内存中,execve在内核空间中的调用可以追溯到kernel_execve -> run_init_process函数,而用户空间通过SYSCALL_DEFINE3(execve...)->do_execve进入函数
unable to execute xxx.sh : Operation not permitted 问题
悟鸣的技术博客
12-02 3830
一、背景 之前在本地创建了 shell 脚本,在 iterm 中可以通过 ./xxxx.sh 的方式去执行。 今天突然发现报了如下错误: unable to execute xxx.sh : Operation not permitted 或者 -bash: ./xxx.sh: /usr/bin/env: bad interpreter: Operation not permitted 最近把系统升级为 Monterey 版本,怀疑和系统升级有关系。 二、解决办法 ls -l 查看权限 发现有执
救命!Shell用了100次还不懂底层?爆肝300行代码从0造“壳”,fork/exec/重定向全扒光,Linux系统编程直接开挂!
最新发布
2301_78847073的博客
09-04 926
本文介绍了一个简易Linux Shell的实现,涵盖命令行交互、进程管理、重定向等核心功能。通过拆解代码,展示了如何从用户输入到命令执行的全流程,包括提示符显示、内建命令处理、fork/exec机制以及重定向原理。该Shell支持基础命令执行、cd/echo等内建命令,以及输入输出重定向功能,适合理解Shell底层工作机制。文章还提供了编译运行方法和关键代码解析,帮助读者从零构建一个简易Shell。
运行文件提示Operation not permitted
m0_73909624的博客
02-21 5034
想要对456.sh进行一个删除操作,发现无法删除,提示Operation not permitted(不允许操作)运行结果:提示Operation not permitted(不允许操作)在root权限下,用chattr -i 456.sh,即可取消掉i锁头。发现这个文件有一个i属性,表示文件不允许删除写入等操作。添加锁头:chattr 选项[+/-] 文件名/目录名。查看文件锁头:lsattr 文件名。
shell】执行shell脚本报错 Operation not permitted处理
热门推荐
Yaso的博客
07-27 1万+
-bash: ./install.sh: /bin/bash: bad interpreter: Operation not permitted出现这个问题的主要原因是:-rwxrwxrwx@ 文件的属性最后带个@,这个@代表的是更多的一些属性,具体含义不太清楚,但有它就是执行不了解决
ubuntu环境下 qt debug时遇到Operation not permitted的问题
我要和你讲道理了
11-26 2881
ubuntu qt程序在debug模式下报错 operation not permitted
fork/exec /Users/_yi/Library/Arduino15/packages/realtek/tools/ameba_d_tools/1.1.2/postbuild_img2_arduino_macos: permission denied
07-29
- *1* *3* [fork/exec /bin/sh: operation not permitted](https://blog.youkuaiyun.com/shida_csdn/article/details/84649669)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
报错的是这个: [ 32.599958] [pid:2058,cpu6,logd.auditd]type=1400 audit(1755507856.571:266): avc: denied { execute_no_trans } for comm="sh" path="/system/bin/settings" dev="dm-0" ino=1205 scontext=u:r:surfaceflinger:s0 tcontext=u:object_r:system_file:s0 tclass=file permissive=0
08-19
ALOGE("Operation not permitted: %s", cmd.c_str()); break; // ... 其他错误处理 } ``` 3. **SELinux 调试建议**: ```bash # 检查文件标签 adb shell ls -lZ /system/bin/settings # 监控实时拒绝...
Android系统篇之—-Android中的run-as命令引出升降权限的安全问题(Linux中的setuid和setgid)
尼古拉斯.赵四的博客
02-29 1359
一、前言 最近一周比较忙,没时间写东西了,今天继续开始我们今天的话题:run-as命令,在上周的开发中,遇到一个问题,就是在使用run-as命令的时候出现了一个错误,不过当时因为工作进度的问题,这问题就搁浅没有解决,用了其他一个曲线救国的方式去解决的。那么咋们今天闲来说说Android中的run-as命令吧。 二、遇到的问题&解决问题 Android中我们知道如果设备没有r...
Mac OS操作/usr/bin目录时报“Operation not permitted”的问题
培根芝士的专栏
04-09 7974
Rootless机制是OSX10.11之后发布的一个内核保护措施,用来对抗恶意程序的破坏。系统默认会锁定/system、/sbin、/usr三个目录,即便设置 root 权限同样不可以。 重启按住 Command+R,进入恢复模式,在菜单栏中打开Terminal。 查看Rootless是否开启 csrutil status 关闭 Rootless csrutil disable 开...
mac idea tomcat intellj IDE下tomcat catalina.sh error=13, Permission denied和error =1 Operation not pe
fly_skydfdf的博客
06-20 691
1.问题 run catalina.sh error=13, Permission denied, 解决: bin/chmod a+x catalina.sh 2.又出现error =1 Operation not permitted 解决: xattr -d com.apple.quarantine startup.sh xa...
进程管理:forkexec函数及fork子进程和父进程
皮皮blog
05-06 3949
http://blog.youkuaiyun.com/pipisorry/article/details/25134579 exec函数族 也许有不少读者从本系列文章一推出就开始读,一直到这里还有一个很大的疑惑:既然所有新进程都是由fork产生的,而且由fork产生的子进程和父进程几乎完全一样,那岂不是意味着系统中所有的进程都应该一模一样了吗?而且,就我们的常识来说,当我们执行一个程序的时候,新产
Linux多进程/线程编程之【fork()和exec()】
weixin_53351963的博客
03-17 3347
在多进程中fork()和exec()通常是结合起来一起使用,在多线程中,通常不建议使用fork()和exec()
动手写docker中遇到的问题合集
m0_50176535的博客
05-26 333
ctrl + x 退出nano编辑器,按y确认保存,按回车保存文件。我的环境 win10, wsl2,ubuntu20.04。然后重新打开wsl2,执行对应代码就可以啦。解决方案:设置wsl默认用户为root。
Mac执行shell脚本报错 Operation not permitted处理
淡漠Vip的博客
05-08 5525
-bash: ./install.sh: /bin/bash: bad interpreter: Operation not permitted 出现这个问题的主要原因是:-rwxrwxrwx@文件的属性最后带个@,这个@代表的是更多的一些属性,具体含义不太清楚,但有它就是执行不了 解决:可以用这个命令来去除这个属性:xattr -d com.apple.quarantine ./* ...
shell脚本执行文件权限不足的问题
不会划水猴子的博客
11-01 1万+
今天就是一个机器出现了脚本无法执行的问题。提示没有权限,但是最重要的是文件已经777最高权限了。 有个发现是使用 bash ./clean.sh sh ./clean.sh 都是可以正常执行的。 但是当执行 ./clean.sh permission denied 提示权限不足。 我们这边执行脚本都是使用./的。一直很正常。现在先把这个问题记录一下。 以下是我转载的资料。其实我对这个也不熟。 ...
Jenkins构建项目时运行shell的坑(Operation not permitted)
IT人利哥的博客
03-30 6042
这两天闲着没事,装了一个Jenkins在我那台服务器上,正好能够部署我放在GitHub上的项目,不用自己手动去导包之类的了。 说来也惭愧啊,搞了半天,我的shell脚本本来写在了这里: 然后各种权限问题,索性就在写个脚本,就能完美解决了。 脚本代码: #!/bin/bash #杀死之前的进程 input1=niuren.jar logDate=$(date "+%Y年-%m月-%...
OCI runtime exec failed: fork/exec /opt/kube/bin/runc: resource temporarily unavailable: <nil>: unknown OCI runtime exec failed: fork/exec /opt/kube/bin/runc: resource temporarily unavailable: <nil>: unknown OCI runtime exec failed: fork/exec /opt/kube/bin/runc: resource temporarily unavailable: <nil>: unknown OCI runtime exec failed: runc did not terminate successfully: runtime/cgo: pthread_create failed: Resource temporarily unavailable SIGABRT: abort
04-30
<think>好的,我现在需要帮助用户解决关于线程创建失败、内存不足和OCI运行时错误的问题。用户提供了多个引用,我需要结合这些引用和之前的回答来给出解决方案。首先,我需要理清每个引用中的信息,然后分析问题的可能原因,再逐步提出解决方案。 用户提到的错误包括pthread_create failed EAGAIN、OutOfMemoryError、OCI runtime exec失败、SIGABRT等。这些错误通常与系统资源限制、内存不足、配置问题或环境问题有关。根据引用内容: 引用[1]提到crontab服务启动时出现pthread_create失败,日志显示资源暂时不可用,可能涉及线程数限制或内存不足。引用[2]指出在虚拟机构建镜像时遇到权限问题,更换环境或降级Golang版本解决了问题,可能与环境配置或内核版本有关。引用[3]提到Docker中的设备空间不足,建议升级内核或清理缓存。引用[4]指出系统线程数未达上限但依然失败,可能涉及其他资源限制。引用[5]提到资源占用大,用户权限不同导致的问题。 结合之前的回答,用户可能的问题根源包括:系统线程数限制、内存不足(堆内存或虚拟内存)、环境配置(如Docker或虚拟机设置)、内核版本问题、代码中的线程泄漏等。需要综合这些因素,分步骤排查。 首先,检查系统资源限制,如ulimit的线程数和内存设置。接着,查看内存使用情况,确认是否堆内存占用过高导致无法分配线程栈。然后,检查环境配置,如Docker的cgroup设置、虚拟机资源分配。此外,考虑升级内核或调整内核参数,清理缓存。最后,代码层面检查是否有线程泄漏,或是否使用合适的并发模型。 需要注意不同场景下的解决方案可能不同,比如虚拟机中的问题可能需要调整资源分配,而Docker环境可能需要修改容器配置。同时,用户提到的Golang版本降级解决问题,可能涉及特定版本的内核兼容性问题,需考虑版本适配。 在组织回答时,需要分步骤,结构清晰,可能包括问题分析、解决方案、验证步骤和相关问题。需要引用之前的引用内容作为支持,例如引用[3]提到的内核升级和缓存清理,引用[2]的环境更换建议,引用[4]的线程数检查等。 可能还需要考虑OCI运行时错误的特定解决方法,如检查runc配置,调整容器资源限制。对于SIGABRT,通常与资源耗尽后的强制终止有关,需从根源解决资源问题。 最后,确保回答符合用户要求的中文、LaTeX格式、相关问题和引用标注。需要验证每个解决方案的可行性,并提醒用户注意潜在风险,如调整栈大小可能导致的栈溢出。</think>以下是针对线程创建失败(`pthread_create failed`)、内存不足(`OutOfMemoryError`)和OCI运行时错误的综合排查与解决方案: --- ### 一、问题根源分析 #### 1. **系统资源限制** - **线程数超限**:尽管`ulimit -u`显示上限较高(如引用[4]中的62809),但进程实际可用线程数可能受`/proc/sys/kernel/threads-max`或`cgroup`限制(尤其Docker环境)[^1][^3][^5]。 - **内存耗尽**:线程栈内存(默认1MB/线程)或堆内存(`-Xmx`)占用过多,导致虚拟内存不足[^4]。 - **内核资源分配**:低版本内核(如<4.18)存在内存回收缺陷,可能触发`No space left on device`错误(引用[3])[^3]。 #### 2. **环境配置问题** - **虚拟机/Docker限制**:虚拟机CPU核数分配不合理(引用[2])或Docker的`cgroup`内存/进程限制过紧[^3][^5]。 - **权限问题**:非root用户在容器内操作时可能因权限不足导致资源分配失败(引用[5])。 #### 3. **代码或运行时缺陷** - **线程泄漏**:未回收的线程或协程(如Golang的goroutine)持续累积[^1][^2]。 - **语言运行时兼容性**:特定语言版本(如Golang 1.19)可能因内核兼容性问题导致线程创建失败(引用[2])。 --- ### 二、解决方案 #### 1. **调整系统资源限制** - **临时提高线程数限制**: ```bash sysctl kernel.threads-max=100000 # 全局线程数上限 ulimit -u 10000 # 用户进程数限制 ``` - **永久生效**:修改`/etc/sysctl.conf`和`/etc/security/limits.conf`。 #### 2. **优化内存分配** - **减少线程栈大小**: ```bash # Java java -Xss256k # Golang export GODEBUG=asyncpreemptoff=1 # 关闭异步抢占(谨慎使用) ``` - **清理缓存**(针对`No space left on device`): ```bash echo 3 > /proc/sys/vm/drop_caches # 引用[3] ``` #### 3. **环境配置调整** - **Docker/容器**: ```bash docker run --ulimit nofile=100000:100000 --memory=4g --cpus=4 ... ``` - **虚拟机**:确保分配足够CPU核数和内存(如引用[2]中虚拟机分配12核仍失败,可能需检查虚拟化驱动)。 #### 4. **升级内核或运行时** - **升级Linux内核至4.18+**(引用[3])[^3]。 - **降级语言工具链**:如Golang 1.19降级至1.18(引用[2])。 #### 5. **代码与运行时优化** - **限制并发数**: ```java // Java线程池示例 ExecutorService pool = Executors.newFixedThreadPool(Runtime.getRuntime().availableProcessors()); ``` - **使用轻量级线程**: ```java // Java 19+虚拟线程 Thread.startVirtualThread(() -> { /* Task */ }); ``` #### 6. **监控与排查工具** - **查看线程数**: ```bash ps -eLf | wc -l # 系统总线程数 cat /proc/<PID>/status # 进程级线程数 ``` - **分析内存泄漏**: ```bash jcmd <PID> VM.native_memory # Java go tool pprof http://.../debug/pprof/heap # Golang ``` --- ### 三、特定场景处理 #### **OCI运行时错误(`runc`相关)** 1. **调整`runc`配置**: ```bash echo 'default-ulimits = "nproc=65535"' >> /etc/containerd/config.toml systemctl restart containerd ``` 2. **检查容器日志**: ```bash journalctl -u docker.service | grep "OCI runtime exec failed" ``` #### **SIGABRT/goroutine泄漏(Golang)** - **开启Goroutine分析**: ```go import _ "net/http/pprof" go func() { http.ListenAndServe(":6060", nil) }() ``` 访问`http://localhost:6060/debug/pprof/goroutine?debug=1`查看泄漏点。 --- ### 四、验证步骤 1. **资源限制检查**: ```bash cat /proc/sys/kernel/threads-max # 系统级线程上限 docker inspect <容器ID> | grep -i "ulimit" # 容器限制 ``` 2. **内存与线程监控**: ```bash top -H -p <PID> # 线程数及内存占用 free -m # 系统剩余内存 ``` --- ### 相关问题 1. **如何分析Docker容器的资源限制?** 2. **Golang中如何避免goroutine泄漏?** 3. **Java虚拟线程与传统线程有何区别?** --- 通过以上步骤,可系统性定位资源瓶颈并针对性优化。若问题仍存,需结合具体日志进一步分析(如引用[1]中的crontab日志)[^1][^4]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值