Debian 13 + Docker - вопросы

0

1

Добрый день! Использовал несколько лет предыдущие версии Debian и Docker. Миграция при апгрейде проходила гладко Обновился на прошлой неделе до Debian 13 Trixie Возникла проблема с правами у контейнеров. Из критичный - Portainer/Agent и Postgress перестали работать - выдают ошибку

error="permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get \"http://%2Fvar%2Frun%2Fdocker.sock/v1.47/info\": dial unix /var/run/docker.sock: socket: permission denied"

контейнер запускается от root. Временно проблему решил через Privileded: True - но это же костыль. Кто-то сталкивался с аналогичным?

←	расширение раздела ext4 в неразмеченное пространство

При установке Arch не может найти зеркала

→

контейнер запускается от root.

Хм. А можно вопрос для общего развития. Что разве уже научили докер юзать контейнеры не от рута?

mx__ ★★★★★
(19.08.25 09:26:40 MSK)

Ответ на: комментарий от mx__ 19.08.25 09:26:40 MSK

Несколько лет как.

anonymous
(19.08.25 09:53:04 MSK)

Ответ на: комментарий от anonymous 19.08.25 09:53:04 MSK

Хм. А без демона?

mx__ ★★★★★
(19.08.25 10:10:30 MSK)

Ответ на: комментарий от mx__ 19.08.25 10:10:30 MSK

Какую проблему решает отсутствие демона?

anonymous
(19.08.25 10:15:24 MSK)

Ответ на: комментарий от mx__ 19.08.25 09:26:40 MSK

Что разве уже научили докер юзать контейнеры не от рута?

Испокон веков уже. Юзера добавляешь в группу докера и всё. Даже больше скажу, привилегированные контейнеры → зло.

Zhbert ★★★★★
(19.08.25 10:53:48 MSK)

Ответ на: комментарий от Zhbert 19.08.25 10:53:48 MSK

Юзера добавляешь в группу докера и

…теперь он де-факто root. Речь про это: https://docs.docker.com/engine/security/rootless/

anonymous
(19.08.25 11:09:51 MSK)

Ответ на: комментарий от anonymous 19.08.25 10:15:24 MSK

Ну типа демон от кого запущен то?

По сути это был намек … так по вашей ссылке есть надписи типа:

sudo rm /var/run/docker.sock

Может он раньше его без апп-армор юзал …

mx__ ★★★★★
(19.08.25 11:56:55 MSK)
Последнее исправление: mx__ 19.08.25 12:00:30 MSK (всего исправлений: 2)

Ответ на: комментарий от mx__ 19.08.25 11:56:55 MSK

Ну типа демон от кого запущен то?

Под текущим пользователем.

anonymous
(19.08.25 12:08:33 MSK)

Ответ на: комментарий от anonymous 19.08.25 12:08:33 MSK

Понятно, просто я привык контейнеры пускать от системд …

Может автору темы просто порты сдвинуть?

mx__ ★★★★★
(19.08.25 12:14:25 MSK)

Privileded: True - но это же костыль

По-моему это не костыль а как раз то что ты хочешь. Доступ к докер-сокету = права делать что угодно с хостом, как ты хочешь это совмещать с непривилегированным режимом? Разве что только самообманом.

firkax ★★★★★
(19.08.25 12:33:56 MSK)

/var/run/docker.sock … permission denied

И что тут непонятного? ls -la права посмотреть не работает, или там ваш аппармор не проверяется?

no-dashi-v2 ★★★
(19.08.25 17:13:16 MSK)

Ответ на: комментарий от no-dashi-v2 19.08.25 17:13:16 MSK

Нет, конечно, все эти дополнительные системы безопасности абсолютно непрозрачные.

vbr ★★★★★
(19.08.25 19:18:32 MSK)

Ответ на: комментарий от vbr 19.08.25 19:18:32 MSK

В целом да. Поставил поиграться с 0 Debian 13 - в Debian все ок. А вот Proxmox 9 - ломает докер как временное решение - поставил виртуальку специально для докера. Костыль конечно - так докер автоматически утилизирует свободные ресурсы системы между основным хостом и своими задачами, а для виртуалки нужно хардом отдавать ядра CPU. Но работает проблема именно в Proxmox 9.

MrStranger
(20.08.25 09:37:35 MSK) автор топика

Ответ на: комментарий от MrStranger 20.08.25 09:37:35 MSK

Proxmox 9 - ломает докер

Авторы Proxmox настоятельно рекомендуют запускать всё не относящуюся к самому Proxmox нагрузку в отдельных VM или контейнерах (да, докер можно запустить в LXC-контейнере созданном в Proxmox, я так делал)

Proxmox - это не Debian. Это специализированное кастомное решение поверх Debian(ядро они к примеру используют не из Debian), у которого есть СВОИ особенности работы и ограничения.

Pinkbyte ★★★★★
(21.08.25 13:38:13 MSK)
Последнее исправление: Pinkbyte 21.08.25 13:40:03 MSK (всего исправлений: 1)

←	расширение раздела ext4 в неразмеченное пространство

Linux-install

При установке Arch не может найти зеркала

→

Похожие темы