用AppArmor包含码头引擎

Question

面对催复函中包含AppArmor或SELinux的Docker引擎，如何在Ubuntu14.04上运行AppArmor下的Docker？

码头保安文件和LXC文档提到Ubuntu附带了用于LXC的AppArmor模板。要利用这一点，必须做些什么呢？

假设一个默认的UbuntuServer14.04主机，以及安装了curl -s https://get.docker.io/ubuntu/ | sudo sh的Docker，接下来要做什么，以便在运行容器时，Docker引擎本身将包含在AppArmor下？

Answer 1

嗯，这是使用来自Ubuntu存储库之外的包的一个问题。您需要要求Docker引擎开发人员为您编写一个设备配置文件，或者编写您自己的配置文件。和selinux的资料一样。

现在，如果您使用或不使用LXC、apparmor、selinux等，那么您将开始获得选项。

例如，Docker开发人员认为您需要更新- http://blog.docker.com/，这当然是管理情况的一种方法。

Apparmor和selinux可以保护您(可能)免受零天攻击，但是漏洞是通过更新修复的。

表象的优点是它更容易学习。缺点是你必须写你自己的个人资料。

见仪表文件

https://help.ubuntu.com/community/AppArmor#Profile_自定义

https://wiki.ubuntu.com/AppArmor

或者，关于一个实际示例，使用一个相当简单的程序，请参见http://blog.bodhizazen.com/linux/apparmor-privoxy-profile/

只要我们有意见..。

与Ubuntu相比，RHEL和Fedora在虚拟化方面略领先于Ubuntu。RHEL正在与Docker合作提供支持，包括selinux。

http://www.redhat.com/about/news/press-archive/2014/4/red-hat-docker-expand-collaboration

我不确定Fedora和Docker，但是Fedora使用selinux和virtmanager来管理LXC - http://major.io/2014/04/21/launch-secure-lxc-containers-on-fedora-20-using-selinux-and-svirt/。

在一天结束后，你将不得不审查意见，并采取最适合你的解决方案。