docker非正常退出后,重启时报错error adding seccomp filter rule for syscall clone3

最新推荐文章于 2024-05-25 10:07:14 发布
最新推荐文章于 2024-05-25 10:07:14 发布
阅读量2.7k 收藏 7
点赞数 5
分类专栏: 环境&安装 文章标签: docker linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/euler1983/article/details/124778193
版权

问题

电脑合盖后,没有待机,电源耗尽关机。里边运行的docker没有正常退出,再开机时,容器启动不起来了,报错如下:

docker: Error response from daemon: OCI runtime create failed: container_linux.go:349: starting container process caused "error adding seccomp filter rule for syscall clone3: permission denied": unknown.

原因

安全计算模式(secure computing mode,seccomp)是 Linux 内核功能。可以使用它来限制容器内可用的操作。seccomp() 系统调用在调用进程的 seccomp 状态下运行。可以使用此功能来限制你的应用程序的访问权限

docker非正常退出后,貌似找不到secomp这个配置文件了,所以无法启动。

解决

在启动docker的地方加上

 --security-opt seccomp=unconfined

以运行没有默认 seccomp 配置文件的容器:

docker run -it -m 20G --memory-swap -1 --security-opt seccomp=unconfined --restart=always --name mya  -p 8888:8888 python:1.4 jupyter lab --ip=0.0.0.0 --port=8888 --allow-root

euler1983
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
@docker error :docker: Error response from daemon: failed to create shim: OCI runtime create failed:
alston_ethannical的博客
11-12 4353
问题描述 docker: Error response from daemon: failed to create shim: OCI runtime create failed: container_linux.go:380: starting container process caused: error adding seccomp filter rule for syscall clone3: permission denied: unknown.
docker 报错 error adding seccomp filter rule for syscall clone3
weixin_37763484的博客
04-22 370
error adding seccomp filter rule for syscall clone3
docker start 报错container_linux.go:380、error adding seccomp filter rule for syscall clone3
XP1990的专栏
12-22 2974
问题描述: Error response from daemon: failed to create shim: OCI runtime create failed: container_linux.go:380: starting container process caused: error adding seccomp filter rule for syscall clone3: peron denied: unknown 问题背景: NVIDIA Docker: 2.8.0 Client:
docker run:–security-opt seccomp=unconfined选项解析 (安全计算模式Secure Computing Mode,实现系统调用过滤,禁用或允许某些系统调用)
最新发布
dzqxwzoe的博客
05-25 1050
Seccomp,即安全计算模式,是 Linux 内核的一部分,用于限制进程可以使用的系统调用2。通过禁止或限制对某些系统调用的访问,Seccomp可以有效减少攻击者能够利用的攻击面。Docker 在默认情况下启用了 Seccomp,并提供了一个默认的配置文件,该文件白名单了大约300个系统调用,其他的则被禁止。这意味着在 Docker容器中运行的进程只能访问这些已经过滤的系统调用。总的来说,Docker 的选项是一个强大的工具,可以提供更大的灵活性。
docker 服务器挂掉Error: OCI runtime error: container_linux.go:345: starting container process caused “err
qq_41616955的博客
03-24 655
运行容器出现 Error: OCI runtime error: container_linux.go:345: starting container process caused "error adding seccomp filter rule for syscall bdflush: requested action matches default action of filter"解决办法在后面价格 --security-opt seccomp=unconfined。
Docker 突然挂掉 failed to create shim task: OCI runtime create failed: container_linux.go:345: ...
一个深技大小学生的博客
10-20 1万+
docker OCI runtime create failed问题解决
POD seccomp错误之bpf_jit_limit问题
qwjhq的专栏
02-06 450
2 定位实际使用bpf_jit_binary_alloc分配内存进程,如实际无用则停止。3.1 bftrace追踪bpf_jit_binary_alloc事件。3.2 写bpf代码片断追踪bpf_jit_binary_alloc。3 据实际情况,宿主机内核升级或内核path。1 将bpf_jit_limit设置为2G。
Docker 容器操作退出后进入解决办法
09-30
主要介绍了Docker 容器操作退出后进入解决办法的相关资料,需要的朋友可以参考下
docker容器运行后退出(怎么才能一直运行)
09-30
在使用Docker的过程中,有会遇到这样一个问题:当你运行一个Docker容器后,它却很快自动退出了。这种情况可能是由于多种原因导致的,但通常都与容器内的主进程结束有关。本文将深入探讨这个问题,并提供解决方案,...
Docker 修改文件是否需要重启(命令详解)
09-30
主要介绍了Docker 修改文件是否需要重启(命令详解)的相关资料,需要的朋友可以参考下
Docker中iptables规则在iptables重启后丢失的完整过程
09-29
主要给大家介绍了关于Docker中iptables规则在iptables重启后丢失的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
linux 安全系列目录 - seccomp安全模块问题排查
yushuoqi的博客
11-03 2万+
seccomp是一种Linux内核特性,允许限制进程可以执行的系统调用,以增加应用程序的安全性。总的来说,libseccomp是一个强大的工具,可用于在Linux系统上实施安全策略,并限制应用程序的系统调用。
从 manual 中学习 seccomp 技术
龙瑜的博客
08-20 850
在限制程序能够使用的系统调用这篇文章中我描述了使用 seccomp 来限制程序系统调用的技术,虽然能够上手却并不了解它提供的真正功能与实际的应用场景,在本篇文章中探讨下。
LWN:Linux讨论新加syscall (clone3, fchmodat4, fsinfo)
Linux News搬运工
07-22 1028
点击上方蓝色字关注我们~clone3(), fchmodat4(), and fsinfo()ByJonathan CorbetJuly 5, 2019内核开发者社区里...
Docker问题:container_linux.go:345: starting container process causedprocess_linux.go:430
热门推荐
慌途L
08-20 3万+
docker问题:container_linux.go:345: starting container process caused "process_linux.go:430 上一篇:离线安装docker服务. 由于前面是离线安装的docker服务,所以我所有的服务镜像都是打成tar包进来的。在启动mysql镜像的候,出现以下问题: docker: Error response from...
容器启动失败 ERROR: for log Cannot start service log: OCI runtime create failed: container_linux.go:346
偶尔记一下 - mybatis.io
04-25 2万+
完整错误信息: ERROR: for log Cannot start service log: OCI runtime create failed: container_linux.go:346: starting container process causedprocess_linux.go:319: getting the final child’s pid from pipe ca...
ElasticSearch学习27_Elasticsearch启动 unable to install syscall filter 问题说明
wang_zhenwei的博客
12-21 1万+
[2016-11-06T16:27:21,712][WARN ][o.e.b.JNANatives ] unable to install syscall filter:  java.lang.UnsupportedOperationException: seccomp unavailable: requires kernel 3.5+ with CONFIG_SECCOMP and CON
Introduction to Seccomp: BPF linux syscall filter
魏巍的博客
02-14 1949
Seccomp Introduction Seccomp Security Profiles for Docker 2.1 Docker default seccomp profile 2.2 Use custom Seccomp profile 2.3 Docker Run without the default seccomp profile
安全计算模式 seccomp_rule_add(3) 规则 使用文档
凌云俯瞰
03-19 3456
名称 seccomp_rule_add, seccomp_rule_add_exact - Add a seccomp filter rule 简介 #include <seccomp.h> typedef void * scmp_filter_ctx; int SCMP_SYS(syscall_name); struct ...
centos上:Error: OCI runtime error: container_linux.go:349: starting container process caused "error adding seccomp filter rule for syscall bdflush: requested action matches default action of filter"
07-15
在CentOS上出现"Error: OCI runtime error: container_linux.go:349: starting container process caused 'error adding seccomp filter rule for syscall bdflush: requested action matches default action of filter'"错误通常是由于安全机制(seccomp)引起的。Seccomp是一种Linux内核的安全特性,用于限制进程能够执行的系统调用。 要解决这个问题,您可以尝试以下几个方法中的一个: 1. 更新容器运行:可能是由于容器运行的版本较旧,导致seccomp策略与当前系统不兼容。尝试升级或切换到最新版本的容器运行,如Docker或Podman。 2. 禁用seccomp策略:虽然不推荐,但您可以通过在创建容器设置`--security-opt seccomp=unconfined`参数来禁用seccomp策略。请注意,这会降低容器的安全性。 3. 检查系统内核配置:确保您的系统内核支持seccomp并已正确配置。您可以检查是否启用了CONFIG_SECCOMP选项。如果没有启用,请重新编译内核或重新配置内核以启用seccomp。 请注意,对于生产环境,建议采取安全措施并遵循最佳实践。禁用seccomp策略可能会降低容器的安全性。如果您仍然遇到问题,请提供更多详细信息,以便我可以更好地帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值