Linux 为PTU范围的Docker禁用AppArmor_Linux_Docker_Gdb_Ptrace_Apparmor

Linux 为PTU范围的Docker禁用AppArmor

linux docker gdb

Linux 为PTU范围的Docker禁用AppArmor,linux,docker,gdb,ptrace,apparmor,Linux,Docker,Gdb,Ptrace,Apparmor,是否可以为特定Docker容器禁用AppArmor？我想使ptrace可访问，以便将gdb连接到正在运行的进程，但当我想更改设置时，会遇到以下问题： root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system AppArmor可以通过运行unconfined或作为特权容器禁用：

是否可以为特定Docker容器禁用AppArmor？我想使ptrace可访问，以便将gdb连接到正在运行的进程，但当我想更改设置时，会遇到以下问题：

root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope
bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system

AppArmor可以通过运行unconfined或作为特权容器禁用：

——安全选项apparmor=unconfined

（或

apparmor:unconfined

适用于docker 1.10及以下版本）

```
--特权
```

然而，一个更好的选择是创建一个新的配置文件来启用ptrace。您可以使用docker AppArmor配置文件作为起点（在

/etc/AppArmor.d/docker

中找到），并附加

ptrace peer=@{profile\u name}

您还需要通过

--security opt seccomp=unconfined

禁用seccomp（除非使用

privileged

），另请参见

docker run--cap add SYS\u PTRACE

/etc/apparmor.d/docker

在docker>v1.13中似乎不再存在