이것기본 AppArmor 프로필Docker 컨테이너의 경우"첨부되지 않은 프로필". 프로그램이 제한되었음을 나타내지는 않았습니다. 설명서에 따르면 첨부되지 않은 구성 파일을 프로그램에 첨부해야 합니다. 해당 플래그를 사용하여 도커 컨테이너를 시작하면 이런 일이 발생하는 것 같습니다 --security-opt apparmor=<profile-name>. 하지만 어떻게?
이 예에서는, 이 구성 파일은 nginx 컨테이너에서 참조됩니다. 내 생각에 nginx 프로세스는 거기에서 제한되어 있지만 bash를 사용하여 컨테이너에서도 "실행"되며 제한 사항은 해당 bash 프로세스에도 반영됩니다.
우리가 그것을 사용할 때 뒤에서 무슨 일이 일어나는가 --security-opt apparmor=...? 프로필은 어떤 프로세스에 첨부되나요? 컨테이너 컨텍스트에서 실행됩니까?