容器内fakeroot卡住问题分析

最新推荐文章于 2026-06-19 12:27:25 发布
原创 最新推荐文章于 2026-06-19 12:27:25 发布 · 166 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#linux #docker

问题现象:

实体机没问题,容器运行命令有特权(--privileged)的时候也没问题,而没有特权的时候,执行fakeroot会报错,容器执行命令如下:

docker run --device /dev/fuse  -dit   --cap-add SYS_ADMIN  -p 8060:22  -v /tmp:/tmp     -v /dev/fuse:/dev/fuse   --name=xxx   一个ubuntu20的镜像

执行fakeroot(fakeroot版本1.37)的命令如下:(增加了strace辅助分析):

LD_PRELOAD=/tmp/libpreload-semop.so \
	strace -f fakeroot -i .fakeroot.env -s .fakeroot.env /bin/bash -c debootstrap/debootstrap --verbose --second-stage --keep-debootstrap-dir

卡住前的输入:

[pid    13] read(3,  <unfinished ...>
[pid    21] <... prlimit64 resumed>{rlim_cur=1024, rlim_max=512*1024}) = 0
[pid    20] <... exit_group resumed>)   = ?
[pid    21] close_range(0, 1024, 0)     = -1 EPERM (Operation not permitted)
[pid    21] setsid( <unfinished ...>
[pid    20] +++ exited with 0 +++
[pid    19] <... wait4 resumed>[{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 20
[pid    19] --- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=20, si_uid=0, si_status=0, si_utime=0, si_stime=0} ---
[pid    19] rt_sigreturn({mask=[]})     = 20
[pid    19] wait4(-1, 0x7ffd3f022a8c, WNOHANG, NULL) = -1 ECHILD (No child processes)
[pid    19] dup2(10, 0)                 = 0
[pid    19] close(10 <unfinished ...>
[pid    21] <... setsid resumed>)       = 21
[pid    19] <... close resumed>)        = 0
[pid    21] msgrcv(32814,  <unfinished ...>
[pid    19] exit_group(0)               = ?
[pid    19] +++ exited with 0 +++
[pid    13] <... read resumed>0x7ffd3f023060, 128) = ? ERESTARTSYS (To be restarted if SA_RESTART is set)
[pid    13] --- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=19, si_uid=0, si_status=0, si_utime=0, si_stime=0} ---
[pid    13] rt_sigreturn({mask=[]})     = -1 EINTR (Interrupted system call)
[pid    13] read(3,

问题分析:

看了比较多的描述,有文件描述符上限的问题,可以升级fakeroot版本,但是我的版本以及大于1.35了,看到close_range(0, 1024, 0)     = -1 EPERM (Operation not permitted),应该就是这里的权限问题了

处理方法:

注意这只是一种潜在的处理方法,拦截并降级close_range调用

#define _GNU_SOURCE
#include <dlfcn.h>
#include <fcntl.h>
#include <string.h>
#include <stdarg.h>
#include <unistd.h> 
#include <asm/unistd.h>
#include <sys/syscall.h>
#include <linux/sem.h>
#include <stdio.h>
#include <errno.h>
#include <dirent.h>
#include <stdlib.h>

/* glibc 2.31 wraps semop() as a call to semtimedop() with the timespec set to NULL
 * qemu 3.1 doesn't support semtimedop(), so this wrapper syscalls the real semop()
 */
int semop(int semid, struct sembuf *sops, unsigned nsops)
{
  return syscall(__NR_semop, semid, sops, nsops);
}

static int (*original_fcntl64)(int fd, int cmd, ...);


int fcntl64(int fd, int cmd, ...) {
    va_list ap;
    void *arg;
    
    // 解析可变参数
    va_start(ap, cmd);
    arg = va_arg(ap, void *);
    va_end(ap);
    
    // 延迟绑定原始函数(只需一次)
    if (!original_fcntl64) {
        original_fcntl64 = dlsym(RTLD_NEXT, "fcntl64");
    }
    
    // 核心:仅精准拦截 OFD 写锁(尝试阻塞获取)
    if (cmd == F_OFD_SETLKW || cmd == F_OFD_SETLK) {
        // 进一步检查是否为 /etc/.pwd.lock 文件
        //char path_buf[256];
        //if (get_fd_path(fd, path_buf, sizeof(path_buf)) == 0) {
            //if (strstr(path_buf, "/etc/.pwd.lock")) {
                // 降级:将 OFD 锁转换为传统进程锁
                int traditional_cmd = (cmd == F_OFD_SETLKW) ? F_SETLKW : F_SETLK;
                //fprintf(stderr, "[INFO] Intercepting OFD lock on %s, downgrading command %d -> %d\n",
                //         path_buf, cmd, traditional_cmd);
                fprintf(stderr, "[INFO] Intercepting OFD lock downgrading\n");
                // 传递相同的 flock 结构体参数
                return original_fcntl64(fd, traditional_cmd, arg);
            //}
       // }
    }
    
    // 默认情况:原样传递所有参数
    return original_fcntl64(fd, cmd, arg);
}

// 降级实现:使用传统的close()逐个关闭
static int fallback_close_range(unsigned int first, unsigned int last, unsigned int flags) {
    int ret = 0;
    int saved_errno = 0;
    
    // 简化实现:忽略flags参数,只实现基本功能
    for (unsigned int fd = first; fd <= last; fd++) {
        // 尝试关闭文件描述符
        int close_ret = close(fd);
        if (close_ret < 0 && errno != EBADF) {
            // 记录第一个非EBADF错误
            if (ret == 0) {
                saved_errno = errno;
                ret = -1;
            }
        }
    }
    
    if (ret < 0) {
        errno = saved_errno;
    }
    
    return ret;
}

static int optimized_fallback_close_range(unsigned int first, unsigned int last, unsigned int flags) {
    // 尝试使用/proc/self/fd来获取实际打开的文件描述符
    DIR *dir = opendir("/proc/self/fd");
    if (dir) {
        struct dirent *entry;
        int dir_fd = dirfd(dir);
        int ret = 0;
        int saved_errno = 0;
        
        while ((entry = readdir(dir)) != NULL) {
            // 跳过"."和".."
            if (strcmp(entry->d_name, ".") == 0 || strcmp(entry->d_name, "..") == 0) {
                continue;
            }
            
            char *endptr;
            long fd = strtol(entry->d_name, &endptr, 10);
            if (endptr == entry->d_name || *endptr != '\0') {
                continue; // 不是数字
            }
            
            // 检查是否在范围内且不是目录本身
            if (fd >= (long)first && fd <= (long)last && fd != dir_fd) {
                if (close(fd) < 0 && errno != EBADF) {
                    if (ret == 0) {
                        saved_errno = errno;
                        ret = -1;
                    }
                }
            }
        }
        
        closedir(dir);
        
        if (ret < 0) {
            errno = saved_errno;
        }
        return ret;
    }
    
    // 如果无法读取/proc,回退到简单实现
    return fallback_close_range(first, last, flags);
}

// 原始系统调用函数指针
static int (*orig_close_range)(unsigned int, unsigned int, unsigned int) = NULL;

// 我们的包装函数
int close_range(unsigned int first, unsigned int last, unsigned int flags) {
    // 延迟绑定原始函数(只需一次)
    if (!orig_close_range) {
        orig_close_range = dlsym(RTLD_NEXT, "close_range");
    }
    // 如果原始函数可用,先尝试使用
    // if (orig_close_range) {
    //     int ret = orig_close_range(first, last, flags);
    //     if (ret == 0 || errno != ENOSYS) {
    //         return ret;
    //     }
    //     // ENOSYS表示系统调用未实现,回退到降级实现
    // }
    
    // 降级实现
    return optimized_fallback_close_range(first, last, flags);
}

编译

gcc -fPIC -shared -o libpreload-semop.so wrap_semop.c
aarch64-linux-gnu-gcc -fPIC -shared -o libpreload-semop.so wrap_semop.c

Amrf
关注
编译瑞芯微px30_linux系统固件时,报错:fakeroot: preload library libfakeroot.so‘ not found, aborting.,但实际有这个.so文件
m0_63128720的博客
09-11 320
解决方法:在Ubuntu中新建一个用户,名为/wyj,在forlinx用户下将镜像文件解压到/wyj用户的某一个文件夹下。(我的系统执行sudo tar -xzf ./px30_LINUX.tar -C /home/wyj/命令),将px30_LINUX.tar系统固件解压到/home/wyj/文件夹下,在/wyj用户下进行编译即可。原因:库路径未正确设置,查看./mk.sh文件发现,产商自带的路径含有一个 /wyj 的用户名,而我的用户名是/forlinx用户;)时会报错,如下图所示。
解决ubuntu18.04使用docker编译openwrt卡住不动的问题
06-17 1082
在我没思路的时候,deepseek给了个好建议,就是抓系统调用日志,使用strace追踪系统调用过程,这样就可以把过程中遇到的错误或者问题找到了,至少知道问题出在哪,接着我就使用strace -f -o /tmp/build.log make -j1 V=s package/libs/toolchain/compile重新执行了一遍,然后把抓出来的日志,继续喂给deepseek,让他分析。终于有点希望了,紧接着我问小d,我该怎么解决这个问题,它又开始瞎bb了,说了好几个方法都没有效果,试的我都累死了。
,在slurm中也能安装ubundu了,Singularity(现叫 Apptainer)不需要root权限的容器方案,对比docker
论文数据分析辅导,;论文人工智能辅导 huazhongxiaosx
06-03 270
摘要:Singularity/Apptainer是为高性能计算设计的容器工具,专为Slurm调度环境优化。与Docker相比,它无需root权限,以单文件.sif格式存储镜像,支持GPU/DCU加速卡直通,默认透明访问宿主文件系统,适合多租户超算环境。关键特性包括:可直接转换Docker镜像,通过sandbox模式安装自定义软件,与Slurm无缝集成(如--rocm调用海光DCU)。典型应用场景包括在超算个人账户下安全运行定制化Ubuntu环境,通过Slurm脚本提交容器化计算任务。该技术解决了超算环境中D
Ubuntu 20.04 安装 TensorFlow 2.15 的正确实践
最新发布
weixin_30435261的博客
06-19 303
TensorFlow 是主流深度学习框架,其安装本质是 Python 包依赖管理与系统环境协同的问题。在 Ubuntu 20.04 这类 LTS 发行版中,核心挑战在于系统 python3.8 与 pip 的默认缺失、apt 与 pip 的包管理冲突、以及 virtualenv 环境隔离失效等底层机制问题。理解 Python 解释器复用原则、wheel 包的 manylinux ABI 兼容性(如 cp38 + manylinux_2_17)、以及清华镜像源的 pip.conf 配置优先级,是实现稳定部署的
记录从0到1制作 Linux To Go
kusunoki的博客
06-17 318
本文介绍了如何制作一个便携的 Linux To Go 系统盘,适合计算机专业或有显卡需求的用户使用。通过 Ubuntu 启动盘,将系统完整安装到移动硬盘/U盘中,避免了双系统或虚拟机的复杂设置。文章详细讲解了准备工作、启动盘制作、BIOS 设置、系统安装步骤,以及网卡和显卡驱动的安装方法。这种方案可在不同电脑上即插即用,保留了完整的 Linux 系统功能和性能。
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
我哎GIS博客
06-17 489
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
Linux 系统调用 | 原理、架构与底层实现
u013669912的博客
06-14 447
……
IntelliJ IDEA 在 Linux 上的完整安装与使用指南
独坐一隅,凝神遐想,是种幸福! —— 独隅
06-14 619
本文提供IntelliJ IDEA在Linux系统上的完整安装使用指南。作为JetBrains推出的旗舰Java/Kotlin开发工具,IDEA凭借智能代码补全、强大重构功能和丰富插件生态,成为开发者首选。指南详细介绍了Linux环境下的安装配置流程,包括:1) 下载.tar.gz包并解压至/opt目录;2) 配置桌面快捷方式和启动脚本;3) 内存与JVM参数优化;4) 终端集成与Shell脚本联动技巧。
imx6ull开发板,sd卡启动运行linux,手动给开发板的 emmc 做分区、烧系统
2301_79809746的博客
06-15 304
boot1 分区 其实也可以做U-Boot备份,boot0 + boot1 双备份据可以覆盖 U-Boot 冗余需求,p1 分区就有点多余了。imx6ull开发板的 U-Boot 版本是 2016.03 ,配置里没有 GPT 支持,分区表 支持 MBR ,属于2016年前后的技术栈。2. 启动分区(放内核、设备树、U-Boot环境变量的分区):保持只读属性,防止启动关键文件被误删,保障开机稳定性;A/B 独立分区: bootA,bootB ,rootfs A ,rootfs B,每个都是独立文件系统。
kaliLinux~ 与端口建立连接
Gavin
06-14 1079
本文介绍了如何使用Kali Linux中的nc命令与Spring Boot服务建立连接并发送HTTP请求,以及尝试连接MySQL数据库的过程。作者首先创建了一个简单的Spring Boot接口,通过nc命令成功发送GET请求并获取响应。随后尝试连接MySQL数据库时遇到防火墙拦截和SSL证书验证问题,通过调整防火墙设置和使用--skip-ssl-verify参数最终成功建立连接。文章记录了整个实验过程中的命令操作和问题解决方法,展现了基本的网络连接测试技术。
Linux 搭建及配置 DNS 服务器 — 实操指南
cpyaxjq的博客
06-17 283
本文是一篇关于在Linux系统上搭建和配置DNS服务器的实操指南。主要内容包括: DNS基础知识 DNS作用:将域名转换为IP地址 系统DNS配置文件解析(/etc/resolv.conf、/etc/hosts等) 常见DNS记录类型(A、AAAA、CNAME、MX等)及查询示例 DNS解析原理 解析流程图示:从根服务器到权威DNS的逐级查询 全球13组根服务器介绍 递归解析过程演示(使用dig +trace命令) BIND9服务器搭建 系统环境:Ubuntu 24.04 LTS 安装和配置BIND9服务
Rocky Linux Cockpit无法显示容器信息的修复
xplidelphi的专栏
06-15 289
本文描述了一个Podman容器管理问题容器实际运行正常但在Cockpit界面不显示。通过podman info命令发现报错,提示用户目录下的registries.conf被误建为目录而非配置文件。核心原因是配置文件路径被创建为目录导致读取失败。解决方案是删除该目录,使用系统全局配置。最终验证该方法有效解决了Cockpit显示异常的问题,整个过程展示了通过错误信息准确定位配置问题的思路。
andoird13 + bazel 编译 Linux kernel
Android小码家
06-15 216
本文介绍了如何为Android 13模拟器编译和替换Linux内核的完整流程。主要内容包括: 确定当前模拟器内核版本(5.15.41-android13) 从Google官方仓库下载对应内核源码(common-android13-5.15分支) 修改内核配置,将virtio_blk和virtio_scsi驱动改为模块化编译 使用Bazel工具编译x86_64架构内核 替换Android源码中的预编译内核(prebuilts/qemu-kernel/x86_64/kernel-qemu) 启动模拟器验证新内核
BurpSuite实战:WackoPicko敏感目录探测
2501_92127719的博客
06-13 280
通过使用 Burp Suite 的 Intruder 模块,我们有效地自动化地发现了 Web 应用程序中的敏感目录和文件。从基础的抓包、设置标记点、加载字典,到启动攻击和分析结果,每一步都体现了自动化工具在渗透测试中的巨大价值。更重要的是,通过深入理解 Intruder 的 Payload 类型和 Attack Type,我们不再局限于“照葫芦画瓢”的操作,而是能够根据实际场景灵活调整策略。例如,当面对需要同时测试用户名和密码的登录框时,我们可以切换到Pitchfork​ 模式;
[Linux]用瀏覽器就能管理伺服器_Cockpit套件
分享实用工具、好书阅读、教育学习与思维概念等等多元化的主题。
06-14 278
本文介绍了一款基于Web的Linux服务器管理工具Cockpit,适用于Ubuntu、RockyLinux等系统。Cockpit由RedHat开发,提供实时监控、账号管理、文件浏览等功能,支持容器和虚拟化整合。安装简单,在Ubuntu和RockyLinux上仅需几条命令即可完成。通过浏览器访问,用户可直观查看系统状态、管理服务,适合系统管理员、DevOps工程师和初学者使用。Cockpit不取代终端,而是提供更便捷的管理方式,降低学习成本,提升运维效率。
服务器现场排障:在 Windows 下使用 Linux reader 直接查看 Linux 系统 U 盘中的日志文件与文件结构
CingSyuan的博客
06-15 261
摘要 本文介绍了在Windows环境下直接读取Linux系统U盘文件的方法。由于现场服务器缺乏网络接口且仅有一个U盘,传统网络传输或多U盘方案不可行。通过DiskInternals Linux Reader工具,可在Windows下直接识别并查看Linux文件系统(如Redhat 8.6),无需启动虚拟机或额外设备。文章详细演示了工具操作流程,包括分区识别、文件预览和日志提取,并强调该工具适合临时查看日志和配置文件,但修改文件或批量导出需付费版本。
Linux 常见缩写命令英文全称
lsyeei的博客
06-17 442
本文整理了一系列常用Linux命令及其名称来源和功能简介,涵盖了系统管理、文件操作、网络工具、用户管理等多个方面。包括awk文本处理、bash默认shell、rpm软件包管理、ssh安全登录、ping网络测试等基础命令,以及chmod权限修改、rm文件删除、df磁盘空间查询等实用工具。每个命令均标注了英文全称和核心用途,如sudo(superuser do)用于特权执行、tar(tape archive)实现文件打包等,为Linux用户提供了快速查阅参考。
linux通用基础
2302_80696251的博客
06-16 323
0:就绪的 fd 总数0:超时-1:出错(errno)定义 fd_setFD_ZERO 清空FD_SET 把需要监听的 fd 加进去调用 select用 FD_ISSET 遍历判断哪个就绪。
Linux 系统编程 · 第 8 章:进程基础
qq_40843427的博客
06-15 99
本文摘要: 本章深入讲解了Linux进程的核心概念与机制。主要内容包括:进程与程序的本质区别,进程作为动态执行实例的组成要素(代码段、数据段、堆栈等);进程控制块(PCB)的关键数据结构;进程标识符体系(PID、PPID等);进程状态机模型(就绪、运行、阻塞等状态转换);进程环境变量和内存布局;以及进程创建(fork)与终止(exit)的系统调用机制。通过示例代码展示了如何获取进程基本信息、资源限制和调度状态等核心属性。强调进程作为操作系统资源分配和调度的基本单位,具有独立的地址空间和生命周期特性。
Linux:TCP协议的socket套接字
KEEP ON KEEPING ON
06-15 2905
本文介绍了基于TCP协议的socket套接字实现,包括服务端和客户端的开发流程。服务端通过socket()、bind()、listen()初始化,使用accept()建立连接后通过read/write进行通信;客户端通过connect()连接服务端后收发数据。文章详细讲解了日志系统实现,支持多进程/多线程并发处理,并介绍了守护进程的实现方法,使服务端进程不受终端关闭影响。最后还讨论了TCP与UDP的主要区别,如连接建立、可靠性保证等特性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值