docker启动服务时,输出PHP 慢日志 ERROR: failed to ptrace(ATTACH) child 24: Operation not permitted (1)

1.错误说明 

当使用docker-compose启动容器后，通过浏览器访问服务器，发现一直转圈，通过php-fpm slow慢日志查看，发现如下错误：

[31-May-2023 12:02:34] ERROR: failed to ptrace(ATTACH) child 12: Operation not permitted (1)
[31-May-2023 12:02:34] WARNING: [pool www] child 12, script '/www/index.php' (request: "GET /index.php") executing too slow (5.021099 sec), logging

2.错误原因 

这是因为Docker容器权限问题

在docker中部署的php容器默认是不能记录慢日志的；

        在Linux系统中，PHP-FPM使用SYS_PTRACE跟踪worker进程，而SYS_PTRACE是什么呢？(这是Linux capabilities里的一种操作特权),那么Linux capabilities又是什么呢？linux从内核2.2开始，将传统上与超级用户root关联的特权划分为不同的单元，称为capabilites，Capabilites 作为线程(Linux 并不真正区分进程和线程)的属性存在，每个单元可以独立启用和禁用。
        如此一来，权限检查的过程就变成了：在执行特权操作时，如果进程的有效身份不是 root，就去检查是否具有该特权操作所对应的capabilites，并以此决定是否可以进行该特权操作。

        所以在docker容器中php写慢日志就得有CAP_KILL capability ，设置系统时间，就得具有 capability CAP_SYS_TIME，docker容器中默认是不启用这个功能的，因此导致了问题

3.解决办法

在容器启动时，加入参数--cap-add SYS_PTRACE即可

(1).通过–security-opt seccomp=unconfined命令

简单暴力（不推荐），直接关闭 seccomp 配置，用法：

docker run --security-opt seccomp:unconfined ...

(2).启动docker时加上 –cap-add=SYS_PTRACE

使用 --cap-add 明确添加指定功能：

docker run --cap-add=SYS_PTRACE ...

(3). 在Docker Compose中的解决方式

Docker Compose 自 version 1.1.0 (2015-02-25) 起支持 cap_add，官方文档：cap_add, cap_drop.在docker-compose.yml用法：

version: "3"

services:
    nginx:
        build: ./nginx/
        ports:
            - 80:80
        volumes:
            - "${PROJECT_ROOT}:/var/www"
            - "${VHOST_ROOT}:/etc/nginx/conf.d"
        networks:
            - server
        depends_on:
            - php
        cap_add:
          - SYS_PTRACE
    php:
        build: ./php-fpm/
        expose:
            - 9000
        volumes:
            - "${PROJECT_ROOT}:/var/www"
            - "/etc/crontab:/etc/crontab"
        links:
            - redis
#            - sphinx
            - mysql
            - mongo
        networks:
            - server
        cap_add:
          - SYS_PTRACE
#    sphinx:
#        build: ./sphinx/
#        ports:
#            - 9312:9312
#        networks:
#            - server

    redis:
        build: ./redis/
        ports:
            - 6379:6379
        networks:
            - server
    mysql:
        build: ./mysql
        ports:
            - 3306:3306
        volumes:
            - ./mysql/conf:/etc/mysql/conf.d
            - ./mysql/data:/var/lib/mysql
        restart: always
        networks:
            - server
        environment:
            MYSQL_ROOT_PASSWORD: 123456
            MYSQL_USER: user
            MYSQL_PASSWORD: 123456

    rabbitmq:
        hostname: rabbit01
        environment:
            RABBITMQ_DEFAULT_VHOST: "/"
            RABBITMQ_DEFAULT_USER: "user"
            RABBITMQ_DEFAULT_PASS: "123456"
            TZ: 'Asia/Shanghai'
            RABBITMQ_ERLANG_COOKIE: 'rabbitmqCookie'
        image: "rabbitmq:3.7.16-management"
        restart: always
        networks:
            - server
        volumes:
        - "./rabbitmq:/var/lib/rabbitmq"
        - "./rabbitmq/log:/var/log/rabbitmq/log"
        ports:
        - "15672:15672"
        - "4369:4369"
        - "5672:5672"
        - "25672:25672"

    mongo:
        build:
            context: ./mongo
        ports:
            - "27017:27017"
        #container_name: mongo
        environment:
            AUTH: "yes"
            MONGO_INITDB_ROOT_USERNAME: root
            MONGO_INITDB_ROOT_PASSWORD: 123456
        volumes: #数据卷映射
            - /mongo/mongod.conf:/etc/mongod.conf  #这里做配置文件的映射，想通过配置文件开启数据库的权限验证，但好像没有效果，后面在研究下
            - /mongo/data:/data/db
            - /mongo/logs/:/var/log/mongodb
        #command: mongodb
        restart: always
        privileged: true
        networks:
            - server

    #mongodb可视化工具：部署完后，需开放对应端口号
    mongo-express:
        image: mongo-express
        restart: always
        links:
            - mongo
        depends_on:
            - mongo
        ports:
            - "28017:8081"
        networks:
            - server
        environment:
            #注意： 冒号后面需要有对应的空格，不然docker-compose安装会报错，fuck!
            ME_CONFIG_MONGODB_ADMINUSERNAME: root
            ME_CONFIG_MONGODB_ADMINPASSWORD: 123456
            ME_CONFIG_BASICAUTH_USERNAME: root
            ME_CONFIG_BASICAUTH_PASSWORD: b123456
            ME_CONFIG_MONGODB_URL: mongodb://root:123456@mongo:27017/


networks:
    server:

好了，问题解决

但是在这里还需要注意一点：在 docker-compose.yml中加入cap_add配置时，注意空格的处理，不然启动docker-compose时会报下面错误：

ERROR: yaml.parser.ParserError: while parsing a block mapping   in "./docker-compose.yml", line 1, column 1 expected , but found ''   in "./docker-compose.yml", line 31, column 7

错误原因：空格导致的未对齐（严格意义上的对齐）
解决方案：对应位置line 31, column 7添加或者删除空格，使得同一层的保持对齐，在这里建议先在编辑器中编辑docker-compose.yml后再传到服务器中