Jak naprawić doker: Wystąpił problem odmowy uprawnień

Zainstalowałem Docker na moim komputerze, na którym mam system operacyjny Ubuntu. Po tym, jak zainstalowałem dokera, kiedy uruchamiam

sudo docker run hello-world

Wszystko w porządku, ale chcę ukryć słowo, sudoaby skrócić polecenie.

Jeśli napiszę polecenie bez słowa sudo

docker run hello-world

Wyświetlane są następujące elementy:

docker: Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post http://%2Fvar%2Frun%2Fdocker.sock/v1.35/containers/create: dial unix /var/run/docker.sock: connect: permission denied.See 'docker run --help'.

Stało się tak samo, kiedy próbuję zrobić

docker-compose up

Jak mogę to rozwiązać?

Jeśli chcesz uruchomić dokera jako użytkownik inny niż root, musisz dodać go do grupy dokerów.

1. Utwórz grupę dokerów, jeśli nie istnieje

$ sudo groupadd docker

2. Dodaj użytkownika do grupy dokerów.

$ sudo usermod -aG docker $USER

3. Uruchom następujące polecenie lub Wyloguj się, zaloguj się ponownie i uruchom (to nie działa, może być konieczne ponowne uruchomienie komputera)

$ newgrp docker

4. Sprawdź, czy doker można uruchomić bez rootowania

$ docker run hello-world

Zaczerpnięte z oficjalnej dokumentacji dokera: manage-docker-as-a-non-root-user

Po aktualizacji odmówiono mi pozwolenia. Wykonanie kroków po instalacji po instalacji „mkb” niczego nie zmieni, ponieważ mój użytkownik był już w grupie „dokerów”; Ponawiam to dwukrotnie w jakikolwiek sposób bez powodzenia.

Po godzinie wyszukiwania ostatecznie zadziałało następujące rozwiązanie:

sudo chmod 666 /var/run/docker.sock

Rozwiązanie pochodzi z Olszańska .

Wygląda na to, że uaktualnienie odtworzyło gniazdo bez wystarczającego pozwolenia dla grupy „dokerów”.

Problemy

Ten twardy chmod otwiera dziurę w zabezpieczeniach i po każdym ponownym uruchomieniu ten błąd zaczyna się od nowa i trzeba ponownie wykonać powyższe polecenie za każdym razem. Chcę rozwiązania raz na zawsze. Do tego masz dwa problemy:

• 1) Problem zSystemD : Gniazdo zostanie utworzone tylko z właścicielem „root” i grupą „root”.

  Możesz sprawdzić pierwszy problem za pomocą tego polecenia:

  ls -l /lib/systemd/system/docker.socket
  

  Jeśli wszystko jest dobre, powinieneś zobaczyć root/docker„nie root/root”.

• 2) Problem z graficznym logowaniem : /superuser/1348196/why-my-linux-account-only-belongs-to-one-group

  Możesz sprawdzić ten drugi problem za pomocą tego polecenia:

  groups
  

  Jeśli wszystko jest w porządku, powinieneś zobaczyć grupę dokerów na liście. Jeśli nie, wypróbuj polecenie

  sudo su $USER  -c groups
  

  jeśli widzisz, to grupa dokerów jest z powodu błędu.

Rozwiązania

Jeśli uda Ci się uzyskać obejście dla graficznego logowania, powinno to zrobić zadanie:

sudo chgrp docker /lib/systemd/system/docker.socket
sudo chmod g+w /lib/systemd/system/docker.socket

Ale jeśli nie możesz poradzić sobie z tym błędem, niezbyt złym rozwiązaniem może być:

sudo chgrp $USER /lib/systemd/system/docker.socket
sudo chmod g+w /lib/systemd/system/docker.socket

Działa to, ponieważ jesteś w środowisku graficznym i prawdopodobnie jedynym użytkownikiem na komputerze. W obu przypadkach potrzebujesz ponownego uruchomienia (lub an sudo chmod 666 /var/run/docker.sock)

1. Dodaj grupę dokerów

$ sudo groupadd docker

2. Dodaj bieżącego użytkownika do grupy dokerów

$ sudo usermod -aG docker $USER

3. Przełącz sesję na grupę dokerów

$ newgrp - docker

4. Uruchom przykład, aby przetestować

$ docker run hello-world

1. Dodaj bieżącego użytkownika do dockergrupy

sudo usermod -aG docker $USER

2. Zmień uprawnienia gniazda dokera, aby móc połączyć się z demonem dokera /var/run/docker.sock

sudo chmod 666 /var/run/docker.sock

Rozwiązuję ten błąd za pomocą polecenia:

$ sudo chmod 666 /var/run/docker.sock

Zawsze możesz spróbować Manage Docker as a non-root userakapitu w https://docs.docker.com/install/linux/linux-postinstall/ docs.

Po wykonaniu tej czynności, jeśli problem nadal występuje, możesz uruchomić następujące polecenie, aby go rozwiązać:

sudo chmod 666 /var/run/docker.sock

Odmówiono pozwolenia podczas próby połączenia się z gniazdem demona Docker w unix: ///var/run/docker.sock: Uzyskaj http: //%2Fvar%2Frun%2Fdocker.sock/v1.40/images/json : dial unix /var/run/docker.sock: connect: odmowa uprawnień

sudo chmod 666 /var/run/docker.sock

To rozwiązało mój problem.

Aby rozwiązać ten problem, szukałem, gdzie jest zainstalowany doker i komponent dokowania. W moim przypadku dockerzostał zainstalowany /usr/bin/dockeri docker-composezostał zainstalowany na /usr/local/bin/docker-composeścieżce. Następnie piszę to w moim terminalu:

Aby dokować:

sudo chmod +x /usr/bin/docker

Do docker-compose:

sudo chmod +x /usr/local/bin/docker-compose

Teraz nie potrzebuję wpisywać w moich poleceniach dokera słowa sudo

/ ************************************************* ************************ /

ERRATA:

Najlepsze rozwiązanie tego problemu skomentował @mkasberg. Cytuję komentarz:

That might work, you might run into issues down the road. Also, it's a security vulnerability. You'd be better off just adding yourself to the docker group, as the docs say. sudo groupadd docker, sudo usermod -aG docker $USER. Docs: https://docs.docker.com/install/linux/linux-postinstall/

Wielkie dzięki!

lightdm i kwallet są dostarczane z błędem, który wydaje się nie przekazywać grup dodatkowych podczas logowania. Aby rozwiązać ten problem, ja również sudo usermod -aG docker $USERmusiałem się wypowiedzieć

auth optional pam_kwallet.so
auth optional pam_kwallet5.so

do

#auth optional pam_kwallet.so
#auth optional pam_kwallet5.so

w /etc/pam.d/lightdm przed restartem komputera , za Döcker grupie rzeczywiście mieć wpływ.

błąd: https://bugs.launchpad.net/lightdm/+bug/1781418 i tutaj: https://bugzilla.redhat.com/show_bug.cgi?id=1581495

użyj tego polecenia

sudo usermod -aG docker $USER

następnie uruchom ponownie komputer, to zadziałało dla mnie.

Poważnie chłopaki. Nie dodawaj Dockera do swoich grup ani nie modyfikuj posixu gniazda (bez wzmacniającego SELinuksa), jest to prosty sposób na rootowanie privesc. Wystarczy dodać alias do .bashrc, jest to prostsze i bezpieczniejsze, ponieważ: alias dc = 'sudo docker'.

możesz wykonać następujące kroki, a to zadziała dla Ciebie:

1. utwórz grupę dokerów sudo groupadd docker
2. dodaj użytkownika do tej grupy sudo usermod -aG docker $USER
3. wyświetl listę grup, aby upewnić się, że grupa dokerów została utworzona pomyślnie, uruchamiając to polecenie groups
4. uruchom następujące polecenie, aby zmienić sesję grupy dokerów newgrp docker
5. zmień własność grupy dla pliku docker.socksudo chown root:docker /var/run/docker.sock
6. zmień własność katalogu .docker sudo chown "$USER":"$USER" /home/"$USER"/.docker -R
7. Wreszcie sudo chmod g+rwx "$HOME/.docker" -R

Po tym teście możesz uruchomić docker ps -a

Po zainstalowaniu dokera, utworzeniu grupy „dokowania” i dodaniu do niej użytkownika, edytuj plik jednostki usługowej dokera:

sudo nano /usr/lib/systemd/system/docker.service

Dodaj dwie linie do sekcji [Service]:

SupplementaryGroups=docker    
ExecStartPost=/bin/chmod 666 /var/run/docker.sock

Zapisz plik (Ctrl-X, y, Enter)

Uruchom i włącz usługę Docker:

sudo systemctl daemon-reload
sudo systemctl start docker
sudo systemctl enable docker

Po instalacji Docker na Centos. Podczas uruchamiania komendy poniżej wystąpił błąd.

[centos@aiops-dev-cassandra3 ~]$ docker run hello-world
docker: Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post http://%2Fvar%2Frun%2Fdocker.soc k/v1.40/containers/create: dial unix /var/run/docker.sock: connect: permission denied.
See 'docker run --help'.

Zmień grupę i uprawnienia dla docker.socket

[centos@aiops-dev-cassandra3 ~]$ ls -l /lib/systemd/system/docker.socket
-rw-r--r--. 1 root root 197 Nov 13 07:25 /lib/systemd/system/docker.socket
[centos@aiops-dev-cassandra3 ~]$ sudo chgrp docker /lib/systemd/system/docker.socket
[centos@aiops-dev-cassandra3 ~]$ sudo chmod 666 /var/run/docker.sock
[centos@aiops-dev-cassandra3 ~]$ ls -lrth /var/run/docker.sock
srw-rw-rw-. 1 root docker 0 Nov 20 11:59 /var/run/docker.sock
[centos@aiops-dev-cassandra3 ~]$

Sprawdź, używając poniższego polecenia dokera

[centos@aiops-dev-cassandra3 ~]$ docker run hello-world
Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
1b930d010525: Pull complete
Digest: sha256:c3b4ada4687bbaa170745b3e4dd8ac3f194ca95b2d0518b417fb47e5879d9b5f
Status: Downloaded newer image for hello-world:latest

Hello from Docker!
This message shows that your installation appears to be working correctly.

To generate this message, Docker took the following steps:
 1. The Docker client contacted the Docker daemon.
 2. The Docker daemon pulled the "hello-world" image from the Docker Hub.
    (amd64)
 3. The Docker daemon created a new container from that image which runs the
    executable that produces the output you are currently reading.
 4. The Docker daemon streamed that output to the Docker client, which sent it
    to your terminal.

To try something more ambitious, you can run an Ubuntu container with:
 $ docker run -it ubuntu bash

Share images, automate workflows, and more with a free Docker ID:
 https://hub.docker.com/

For more examples and ideas, visit:
 https://docs.docker.com/get-started/

[centos@aiops-dev-cassandra3 ~]$

sudo chmod 666 /var/run/docker.sock

pomogło mi to, gdy pojawiał się błąd nawet podczas logowania do dokera. Ale teraz działa to całkiem dobrze w moim systemie.