定影回報不能拒絕權限

Question

如果我在這是在泊塢窗圖像運行Ubuntu 14.0.4運行fuser -n tcp 80，我得到：

Cannot stat file /proc/25/fd/0: Permission denied 
Cannot stat file /proc/25/fd/1: Permission denied 
Cannot stat file /proc/25/fd/2: Permission denied 
Cannot stat file /proc/25/fd/3: Permission denied 
Cannot stat file /proc/25/fd/4: Permission denied 
Cannot stat file /proc/25/fd/5: Permission denied 
etc. 
80/tcp:     24 

如果我運行whoami它返回根。

爲什麼我不能運行這個命令？

Answer 1

這應該是因爲AppArmor。

這是基於名稱訪問控制的Linux安全模塊實現。 AppArmor將單個程序限制在一組列出的文件中，並且posix 1003.1e草案能力。

您可以在issue 7276或issue 6800中看到各種解決方法。

docker run -itd --cap-add=SYS_PTRACE --security-opt=apparmor:unconfined mytomcat7image