Fix: permission denied sur sysctl net.ipv4.ip_unprivileged_port_start (Docker / Proxmox LXC)

🧩 Fix: permission denied sur sysctl net.ipv4.ip_unprivileged_port_start (Docker / Proxmox LXC)

🧠 Contexte

Depuis les dernières mises à jour de containerd, un patch de sécurité (lié à CVE-2025-52881) empêche Docker ou Pterodactyl Wings d’accéder au sysctl :

open sysctl net.ipv4.ip_unprivileged_port_start file: reopen fd 3: permission denied: unknown

Ce problème survient fréquemment :

• Sur Proxmox en LXC non privilégié

• Avec Docker ou Pterodactyl Wings

• Sur les versions récentes de containerd (>= 1.7.29)

✅ Solution : revenir à une version stable de containerd

1. Vérifier la version installée

apt list containerd.io

Si tu es sur 1.7.29 ou plus récent → le bug est présent.

2. Installer la version stable précédente

apt install containerd.io=1.7.28-1~ubuntu.24.04~noble

⚠️ Important : cette version est connue pour être compatible avec Docker, Wings et les environnements LXC sous Proxmox.

3. Bloquer les mises à jour automatiques

Empêche apt upgrade de réinstaller la version buguée :

apt-mark hold containerd.io

4. Redémarrer les services

systemctl restart containerd
systemctl restart docker
systemctl restart wings

🧪 Vérification

Relance une installation de serveur (ou un conteneur Docker de test) :

docker run --rm alpine echo "OK"

Si l’erreur permission denied ne s’affiche plus, le correctif est appliqué avec succès.

📦 Environnement concerné

📎 Référence

• CVE : CVE-2025-52881

• Issue upstream : containerd / runc permission denied on sysctl

🧱 Résumé rapide

apt install containerd.io=1.7.28-1~ubuntu.24.04~noble -y
apt-mark hold containerd.io
systemctl restart containerd docker wings

Résout le permission denied sur net.ipv4.ip_unprivileged_port_start sans casser Docker.