Kann AppArmor für einen bestimmten Docker-Container deaktiviert werden? Ich möchte ptrace zugänglich machen, damit ich gdb an einen laufenden Prozess anhängen können aber in das folgende Problem laufen, wenn ich die Einstellung ändern wollen:Deaktivieren von AppArmor für Docker für ptrace_scope
[email protected]:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope
bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system
AppArmor kann entweder durch Laufen unconfined oder als privilegierter Behälter deaktiviert werden :
--security-opt apparmor=unconfined (oder apparmor:unconfined für Andockfensters 1.10 und darunter)--privileged (laufen als Wurzel)Eine bessere Option ist jedoch, ein neues Profil zu erstellen, das ptrace aktiviert. Sie können das Andock-AppArmor-Profil als Ausgangspunkt verwenden (in /etc/apparmor.d/docker gefunden) und die ptrace [email protected]{profile_name} anhängen.
Sie müssen auch seccomp über --security-opt seccomp=unconfined