Linux 为PTU范围的Docker禁用AppArmor
是否可以为特定Docker容器禁用AppArmor?我想使ptrace可访问,以便将gdb连接到正在运行的进程,但当我想更改设置时,会遇到以下问题:Linux 为PTU范围的Docker禁用AppArmor,linux,docker,gdb,ptrace,apparmor,Linux,Docker,Gdb,Ptrace,Apparmor,是否可以为特定Docker容器禁用AppArmor?我想使ptrace可访问,以便将gdb连接到正在运行的进程,但当我想更改设置时,会遇到以下问题: root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system AppArmor可以通过运行unconfined或作为特权容器禁用:
root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope
bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system
AppArmor可以通过运行unconfined或作为特权容器禁用:
(或——安全选项apparmor=unconfined
适用于docker 1.10及以下版本)apparmor:unconfined
--特权
然而,一个更好的选择是创建一个新的配置文件来启用ptrace。您可以使用docker AppArmor配置文件作为起点(在
/etc/AppArmor.d/docker
中找到),并附加ptrace peer=@{profile\u name}
您还需要通过
--security opt seccomp=unconfined
禁用seccomp(除非使用privileged
),另请参见docker run--cap add SYS\u PTRACE
/etc/apparmor.d/docker
在docker>v1.13中似乎不再存在