是否可以为特定的Docker容器禁用AppArmor?我想让ptrace可访问,所以我可以将gdb附加到正在运行的进程,但是当我想要更改设置时会遇到以下问题:
root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope
bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system
答案 0 :(得分:4)
可以通过运行unconfined或作为特权容器来禁用AppArmor:
--security-opt apparmor=unconfined(或apparmor:unconfined for docker 1.10及以下)--privileged 但是,更好的选择是创建一个启用ptrace的新配置文件。您可以使用docker AppArmor配置文件作为起点(位于/etc/apparmor.d/docker中),并附加ptrace peer=@{profile_name}。
您还需要通过privileged
--security-opt seccomp=unconfined)