解决Docker权限被拒问题

技术背景

在Ubuntu机器上安装Docker后，当运行docker run hello-world等命令时，可能会遇到权限被拒的错误，提示无法连接到Docker守护进程的套接字文件/var/run/docker.sock。这是因为默认情况下，Docker守护进程绑定到Unix套接字，该套接字由root用户拥有，其他用户只能通过sudo命令访问。

实现步骤

方法一：将用户添加到docker组

1. 创建docker组（如果不存在）

sudo groupadd docker

2. 将当前用户添加到docker组

sudo usermod -aG docker $USER

3. 切换到新的docker组会话（避免注销和重新登录，若仍有问题，尝试重启）

newgrp docker

4. 检查是否可以无root权限运行Docker

docker run hello-world

5. 若仍报错，重启系统

reboot

方法二：修改docker套接字权限

1. 临时修改权限

sudo chmod 666 /var/run/docker.sock

但这种方法会带来安全风险，并且每次重启后都需要重新执行该命令。

2. 更安全的权限修改

sudo chmod 660 /var/run/docker.sock

同时确保用户已加入docker组。

方法三：使用ACL（访问控制列表）

sudo setfacl -m user:$USER:rw /var/run/docker.sock

若提示facl未找到，可使用以下命令安装：

sudo apt install acl

方法四：修改systemd配置

1. 修改docker.socket文件

sudo nano /etc/systemd/system/sockets.target.wants/docker.socket

2. 在文件中添加或修改以下内容

[Unit]
Description=Docker Socket for the API

[Socket]
ListenStream=/var/run/docker.sock
SocketMode=0660
SocketUser=YOUR_USERNAME_HERE
SocketGroup=docker

[Install]
WantedBy=sockets.target

3. 重启docker服务

sudo systemctl restart docker

核心代码

将用户添加到docker组

sudo groupadd docker
sudo usermod -aG docker $USER
newgrp docker

修改docker套接字权限

sudo chmod 660 /var/run/docker.sock

使用ACL

sudo setfacl -m user:$USER:rw /var/run/docker.sock

最佳实践

• 安全优先：避免使用chmod 666这种赋予所有人读写权限的方式，推荐使用chmod 660并将用户添加到docker组。
• 验证配置：在修改权限或配置后，使用docker run hello-world命令验证是否可以正常运行Docker。
• 持续维护：定期检查docker组和权限配置，确保系统安全。

常见问题

问题1：添加用户到docker组后仍无法解决权限问题

• 可能原因：图形登录问题导致用户组未正确加载，或者systemd配置问题。
• 解决方法：检查图形登录配置，如注释/etc/pam.d/lightdm中的pam_kwallet相关行；检查/lib/systemd/system/docker.socket的权限和所属组。

问题2：使用ACL后权限仍然无效

• 可能原因：.sock文件是临时文件，每次Docker启动时都会重新创建。
• 解决方法：考虑其他更持久的权限管理方法，如修改systemd配置。

问题3：修改systemd配置后仍无法解决问题

• 可能原因：配置文件修改有误，或者未正确重启docker服务。
• 解决方法：检查配置文件内容，确保SocketUser和SocketGroup配置正确；使用sudo systemctl restart docker命令重启服务。