gpt4 book ai didi

docker - 让Apparmor在Docker容器上工作

转载 作者:行者123 更新时间:2023-12-02 19:32:29 24 4
gpt4 key购买 nike

我在Ubuntu 16.04上使用apparmor和docker进行游戏,有时可以在容器上运行它……

Docker版本18.03.0-CE,内部版本0520E24
$ docker run -it ubuntu bash
导致按预期运行ubuntu 16.04的Docker容器
$ sudo aa-status
显示docker-default在容器上处于 Activity 状态

并通过bash在容器内运行$ cat /proc/sysrq-trigger会返回预测的“权限被拒绝”,因为默认情况下,docker-apparmor配置文件将其阻止,如以下指南所示:https://cloud.google.com/container-optimized-os/docs/how-to/secure-apparmor#creating_a_custom_security_profile

跟着一个
$ docker run -it --security-opt apparmor=unconfined ubuntu bash
返回$ sudo aa-status的预期结果,并且$ cat /proc/sysrq-trigger返回cat: /proc/sysrq-trigger: Input/output error
到目前为止,一切都很好,但是现在如果我以分离模式运行容器,则apparmor配置文件将停止工作(引用:https://docs.docker.com/engine/security/apparmor/#resources-for-writing-profiles)

我能够构建apparmor配置文件,并看到它以aa-status运行,但是当我执行到容器中时,没有任何阻塞。它不适用于nginx容器,并且我尝试了其他容器。但是,无论我如何应用--security-opt,如果我以分离状态$ docker run -d ubuntu tail -f /dev/null运行,它都不会阻止任何内容。

谁能解释apparmor如何与docker一起工作,为什么会这样?

谢谢!

最佳答案

我发现apparmor可与docker 1.13.1一起使用,并且计划在下一发行版中修复一个错误:docker 18.03.1

引用:https://github.com/moby/moby/pull/36466

关于docker - 让Apparmor在Docker容器上工作,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49826822/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com