问题描述
Docker的default container AppArmor profile仅包含一个“ file”子句,而没有任何其他信息:
file,这实际上是什么意思,此子句是否授予对任何文件的完全访问权限?我已经检查了AppArmor的apparmor.d(5)手册页,但没有明确提及这种情况,相反,说:
# Allow all PTrace access
ptrace,解决方法
几个月后,我终于偶然发现了一个解释,不是来自 AppArmor 项目本身,而是来自 OpenSUSE,在他们的“安全和强化指南”,“配置文件组件和语法”一章,标题“30.7.70 Optional allow and file Rules”:
以下规则授予对所有文件的访问权限:
file,