这默认 AppArmor 配置文件对于 Docker 容器来说是“未附加的个人资料”。它没有指出该程序受到限制。根据文档,需要将未附加的配置文件附加到程序中。我想这就是当我用该标志启动 docker 容器时发生的情况--security-opt apparmor=<profile-name>
。但如何呢?
在这个例子中,该配置文件被 nginx 容器引用。我想,nginx 进程被限制在那里,但它们也用 bash“执行”到容器中,并且限制也反映在该 bash 进程中。
当我们使用时幕后会发生什么--security-opt apparmor=...
?配置文件附加到什么进程?有在容器上下文中执行的吗?