Tag: apparmor

polkit-gnome-authentication-agent-1无法在没有特权标志的docker中启动

我正在使用下一个docker gui容器: FROM centos:6 RUN yum -y install epel-release RUN yum -y groupinstall "X Window System" "Desktop" "General Purpose Desktop" RUN yum -y install openssh-server x2goserver x2goserver-xsession x2goserver-fmbindings x2goserver-printing pwgen RUN yum reinstall glibc-common # fix some issues RUN chkconfig sshd on RUN sed -i "s/UsePAM.*/UsePAM no/g" /etc/ssh/sshd_config RUN sed -i "s/#PermitRootLogin/PermitRootLogin/g" /etc/ssh/sshd_config RUN adduser […]

为ptrace_scope禁用Docker的AppArmor

是否有可能为特定的Docker容器禁用AppArmor? 我想使ptrace可访问,所以我可以将gdb附加到正在运行的进程,但是当我想更改设置时遇到以下问题: root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system

对于Docker容器,SELinux比AppArmor更安全吗?

我的理解是,AppArmor和SELinux都实现了一个强制访问控制(MAC)系统,该系统在容器之间提供了一个额外的安全隔离层,并且Docker带有两个默认策略。 但是,SELinux专门可以使用多类别安全性(MCS)来强制系统上的每个单独的容器只能访问为特定容器标记的主机上的文件(更多详细信息: 文章 , 演示文稿 )。 也就是说,如果两个Docker容器A和B在单个主机上分离,那么Doc​​ker附带的默认SELinux安全策略实际上会强制在发生中断时,容器A中的Linux进程将无法访问属于容器B的文件。不仅如此,文件可以从主机装入容器的唯一方式是如果卷后缀为“:Z”,因此告诉Docker确保将相关的MCS标签添加到该path上的主机上的文件,以便容器可以访问它们。 相反,我无法在AppArmor中find任何类似机制的引用。 相反,Docker的默认AppArmorconfiguration文件似乎主要是关于拒绝访问特定的文件系统path和主机资源,而不是拒绝访问容器。 我的问题是,如果我使用Docker的默认AppArmorconfiguration文件,我将获得与使用上述SELinux相同的有效保护吗? AppArmor会阻止从一个容器访问另一个容器的文件吗? 如果是的话,它是如何实现的?

在Docker容器中运行lxd,并有probelms

我正在使用Ubuntu 16.10.3映像来探索Juju的魅力。 作为一个先决条件, juju需要安装lxd 。 我成功地安装了lxd但是当我继续创build我的第一个Juju魅力时,它失败,出现这个错误: root@615c0e53c7f7:/# juju bootstrap localhost test ERROR creating LXD client: can't connect to the local LXD server: LXD socket not found; is LXD installed & running? Please install LXD by running: $ sudo apt-get install lxd and then configure it with: $ newgrp lxd $ lxd init 由于lxd已经安装了,所以我继续运行lxd init ,这个错误再次失败: […]

docker的apparmorconfiguration文件在哪里?

以下问题发生在Debian Jessie(在Vagrant下): docker文档声称一个apparmorconfiguration文件被自动放置在/etc/apparmor.d/docker ,但是当我列出这个目录的内容时,它不会被find。 /etc/apparmor.d内容: abstractions cache disable force-complain local tunables Docker版本信息 $ docker version Client: Version: 1.12.1 API version: 1.24 Go version: go1.6.3 Git commit: 23cf638 Built: Thu Aug 18 05:02:53 2016 OS/Arch: linux/amd64 Server: Version: 1.12.1 API version: 1.24 Go version: go1.6.3 Git commit: 23cf638 Built: Thu Aug 18 05:02:53 2016 OS/Arch: linux/amd64

docker 文件 kubernetes 泊坞窗 Linux容器 python Java mysql amazon web services jenkins PHP nginx node.js postgresql networking应用程序 dockerfile bash docker compose 集装箱 macos Ubuntu django mongodb
Interesting Posts

jenkinspipe道dockerbuild设docker代理

如何将Dockernetworking暴露给主机?

为斯坦福NLP的NLTK设置docker的JAVA_HOME

在使用docker exec时,评估容器内的bashexpression式,而不是主机

stream浪者箱子和docker提供者:巨人和Kafka

Dockerfile为sbt(scala)

如何将Docker镜像从Docker Hub部署到Azure ACS?

docker机在创build时卡住了

如何在Dockerfile中运行plenv / rbenv?

docker备份在生产数据库上

docker集装箱的/ proc / <pid> / stat不更新CPU统计

如何删除多个文件后检查Docker(卷,devicemapper,..)的configuration?

Jenkins Docker Plugin似乎并没有为Jenkins构buildconfiguration从属容器

如何删除Google容器registry中的推送图片

使用Docker设置多个Ubuntu容器