是否可以爲特定的Docker容器禁用AppArmor?我要讓ptrace的訪問,所以我可以gdb連接到正在運行的進程,但是碰到以下問題,當我要更改設置:禁用AppArmor for Docker for ptrace_scope
[email protected]:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope
bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system
的AppArmor可以禁用通過運行無約束,或作爲特權容器:
--security-opt apparmor=unconfined(或apparmor:unconfined對於碼頭工人1.10及以下)--privileged(運行作爲root)但是,更好的選擇是創建一個啓用ptrace的新配置文件。您可以使用Docker AppArmor配置文件作爲起點(位於/etc/apparmor.d/docker中),並附加ptrace [email protected]{profile_name}。
您還需要禁用seccomp,通過--security-opt seccomp=unconfined