特定のDockerコンテナに対してAppArmorを無効にすることはできますか?私は、設定を変更したいとき、私は次の問題に実行中のプロセスにGDBを添付するが、実行することができますので、私はptraceのアクセスできるようにしたい:pTrace_scope用のDocker用AppArmorを無効にする
[email protected]:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope
bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system
AppArmorは非拘束実行することによって、または特権コンテナのいずれかとして無効にすることができます:
--privileged(ルートとして実行)(ドッカー以下1.10またはapparmor:unconfined)
--security-opt apparmor=unconfinedしかし、より良いオプションは、ptraceを有効にする新しいプロファイルを作成することです。ドッカーのAppArmorプロファイルを開始点(/etc/apparmor.d/dockerにあります)として使用し、ptrace [email protected]{profile_name}を追加することができます。
また、seccompを無効にする必要があります。--security-opt seccomp=unconfined