是否可以禁用特定 Docker 容器的 AppArmor?我想让 ptrace 可访问,以便我可以将 gdb 附加到正在运行的进程,但是当我想更改设置时遇到以下问题:
root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope
bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system
最佳答案
AppArmor 可以通过无限制运行或作为特权容器来禁用:
--security-opt apparmor=unconfined(或 apparmor:unconfined for docker 1.10 及以下) --privileged 但是,更好的选择是创建一个启用 ptrace 的新配置文件。您可以使用 docker AppArmor 配置文件作为起点(在
/etc/apparmor.d/docker 中找到),并附加 ptrace peer=@{profile_name} 。您还需要通过
privileged 禁用 seccomp(除非使用 --security-opt seccomp=unconfined )关于linux - 为 ptrace_scope 禁用 Docker 的 AppArmor,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/37072468/