是否可以为特定的Docker容器禁用AppArmor?我要让ptrace的访问,所以我可以gdb连接到正在运行的进程,但是碰到以下问题,当我要更改设置:禁用AppArmor for Docker for ptrace_scope
[email protected]:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope
bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system
的AppArmor可以禁用通过运行无约束,或作为特权容器:
--security-opt apparmor=unconfined(或apparmor:unconfined对于码头工人1.10及以下)--privileged(运行作为root)但是,更好的选择是创建一个启用ptrace的新配置文件。您可以使用Docker AppArmor配置文件作为起点(位于/etc/apparmor.d/docker中),并附加ptrace [email protected]{profile_name}。
您还需要禁用seccomp,通过--security-opt seccomp=unconfined