快捷導(dǎo)航

docker容器中crontab無(wú)法正常運(yùn)行解決方案

更新時(shí)間：2017年01月13日 10:33:03 投稿：mrr

相信很多人看完docker容器, 需要加crontab, 加完卻發(fā)現(xiàn)不能執(zhí)行，什么原因造成的呢？下面小編給大家分享docker容器中crontab無(wú)法正常運(yùn)行的解決方案，需要的朋友參考下吧

相信很多人看完docker容器, 需要加crontab, 加完卻發(fā)現(xiàn)不能執(zhí)行,心塞.....接著便開(kāi)始各種折騰...

首先當(dāng)然是看日志了, 發(fā)現(xiàn)/var/log 下面沒(méi)有任何信息, 那是因?yàn)槟銢](méi)有打開(kāi)rsyslog.

# /etc/init.d/rsyslog start

繼續(xù)看日志

# tail /var/log/crond
Dec 29 16:39:01 web01-50794 crond[2839]: (root) FAILED to open PAM security session (Cannot make/remove an entry for the specified session)
Dec 29 16:40:01 web01-50794 crond[2842]: (root) FAILED to open PAM security session (Cannot make/remove an entry for the specified session)
Dec 29 16:40:01 web01-50794 crond[2841]: (root) FAILED to open PAM security session (Cannot make/remove an entry for the specified session)
Dec 29 16:41:01 web01-50794 crond[2846]: (root) FAILED to open PAM security session (Cannot make/remove an entry for the specified session)
# tail /var/log/secure
Dec 29 16:39:01 web01-50794 crond[2839]: pam_loginuid(crond:session): set_loginuid failed
Dec 29 16:40:01 web01-50794 crond[2841]: pam_loginuid(crond:session): set_loginuid failed
Dec 29 16:40:01 web01-50794 crond[2842]: pam_loginuid(crond:session): set_loginuid failed
Dec 29 16:41:01 web01-50794 crond[2846]: pam_loginuid(crond:session): set_loginuid failed
# tail /var/log/crond
Dec 29 16:39:01 web01-50794 crond[2839]: (root) FAILED to open PAM security session (Cannot make/remove an entry for the specified session)
Dec 29 16:40:01 web01-50794 crond[2842]: (root) FAILED to open PAM security session (Cannot make/remove an entry for the specified session)
Dec 29 16:40:01 web01-50794 crond[2841]: (root) FAILED to open PAM security session (Cannot make/remove an entry for the specified session)
Dec 29 16:41:01 web01-50794 crond[2846]: (root) FAILED to open PAM security session (Cannot make/remove an entry for the specified session)
# tail /var/log/secure
Dec 29 16:39:01 web01-50794 crond[2839]: pam_loginuid(crond:session): set_loginuid failed
Dec 29 16:40:01 web01-50794 crond[2841]: pam_loginuid(crond:session): set_loginuid failed
Dec 29 16:40:01 web01-50794 crond[2842]: pam_loginuid(crond:session): set_loginuid failed
Dec 29 16:41:01 web01-50794 crond[2846]: pam_loginuid(crond:session): set_loginuid failed

從crontab的日志可以看出是因?yàn)閜am的原因無(wú)法建立一個(gè)session連接.

接著看secure日志, 報(bào)出了set_loginuid failed , 無(wú)法獲取用戶(hù)uid.

分析:

為什么在docker里面無(wú)法獲取uid?pam_loginuid.so又代表什么?

pam_loginuid.so模塊: session類(lèi)型:用來(lái)設(shè)置已通過(guò)認(rèn)證的進(jìn)程的uid.以使程序通過(guò)正常的審核(audit).而在docker里面，由于內(nèi)核能力機(jī)制的安全限制，docker啟動(dòng)的容器被嚴(yán)格要求只允許使用內(nèi)核的部分能力.其中包括，但不僅限于ssh、cron、syslogd、硬件管理工具模塊（例如負(fù)載模塊）、網(wǎng)絡(luò)配置，等屬于特權(quán)進(jìn)程.容器無(wú)法獲取這些特權(quán)進(jìn)程信息。導(dǎo)致crond服務(wù)啟動(dòng)時(shí)的set_loginuid failed. 而required機(jī)制要求必須所有的驗(yàn)證條件均要滿(mǎn)足，才能進(jìn)行后續(xù)操作，這就導(dǎo)致了crond的執(zhí)行失敗.

這里扯一下pam模塊鑒證級(jí)別,共有四種取值:分別為required、Requisite、sufficient或_optional.

required：表示該行以及所有涉及模塊的成功是用戶(hù)通過(guò)鑒別的必要條件。換句話(huà)說(shuō)，只有當(dāng)對(duì)應(yīng)于應(yīng)用程序的所有帶 required標(biāo)記的模塊全部成功后，該程序才能通過(guò)鑒別。同時(shí)，如果任何帶required標(biāo)記的模塊出現(xiàn)了錯(cuò)誤，PAM并不立刻將錯(cuò)誤消息返回給應(yīng)用程序，而是在所有模塊都調(diào)用完畢后才將錯(cuò)誤消息返回調(diào)用他的程序。反正說(shuō)白了，就是必須將所有的模塊都執(zhí)行一次，其中任何一個(gè)模塊驗(yàn)證出錯(cuò)，驗(yàn)證都會(huì)繼續(xù)進(jìn)行，并在執(zhí)行完成之后才返回錯(cuò)誤信息。這樣做的目的就是不讓用戶(hù)知道自己被哪個(gè)模塊拒絕，通過(guò)一種隱蔽的方式來(lái)保護(hù)系統(tǒng)服務(wù)。就像設(shè)置防火墻規(guī)則的時(shí)候?qū)⒕芙^類(lèi)的規(guī)則都設(shè)置為drop一樣，以致于用戶(hù)在訪問(wèn)網(wǎng)絡(luò)不成功的時(shí)候無(wú)法準(zhǔn)確判斷到底是被拒絕還是目標(biāo)網(wǎng)絡(luò)不可達(dá)。

sufficient：表示該行以及所涉及模塊驗(yàn)證成功是用戶(hù)通過(guò)鑒別的充分條件。也就是說(shuō)只要標(biāo)記為sufficient的模塊一旦驗(yàn)證成功，那么PAM便立即向應(yīng)用程序返回成功結(jié)果而不必嘗試任何其他模塊。即便后面的層疊模塊使用了requisite或者required控制標(biāo)志也是一樣。當(dāng)標(biāo)記為sufficient的模塊失敗時(shí)，sufficient模塊會(huì)當(dāng)做 optional對(duì)待。因此擁有sufficient 標(biāo)志位的配置項(xiàng)在執(zhí)行驗(yàn)證出錯(cuò)的時(shí)候并不會(huì)導(dǎo)致整個(gè)驗(yàn)證失敗，但執(zhí)行驗(yàn)證成功之時(shí)則大門(mén)敞開(kāi)。所以該控制位的使用務(wù)必慎重。

解決方案:

# cat /etc/pam.d/crond 
account  required  pam_access.so
account  include  password-auth
#session  required  pam_loginuid.so #注釋此行
session  include  password-auth
auth    include  password-auth
# cat /etc/pam.d/crond 
account  required  pam_access.so
account  include  password-auth
#session  required  pam_loginuid.so #注釋此行
session  include  password-auth
auth    include  password-auth

以上所述是小編給大家介紹的docker容器中crontab無(wú)法正常運(yùn)行解決方案，希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！

您可能感興趣的文章: