প্রথমত, সিস্টেমে অন্যদের কাছ থেকে অ্যাপ্লিকেশন আলাদা করতে সিগ্রুপগুলি ব্যবহার করা হয় না। এগুলি রিসোর্সের ব্যবহার এবং ডিভাইস অ্যাক্সেস পরিচালনা করতে ব্যবহৃত হয়। এটি বিভিন্ন নেমস্পেস (পিআইডি, ইউটিএস, মাউন্ট, ব্যবহারকারী ...) যা কিছু (সীমিত) বিচ্ছিন্নতা সরবরাহ করে।
তদ্ব্যতীত, ডকারের ধারকের ভিতরে চালু হওয়া একটি প্রক্রিয়া সম্ভবত এটির অধীনে থাকা অ্যাপঅর্মর প্রোফাইলটি পরিচালনা করতে সক্ষম হবে না। বর্তমানে গৃহীত পদ্ধতির ধারকটি চালু করার আগে একটি নির্দিষ্ট অ্যাপআর্মার প্রোফাইল সেটআপ করা।
দেখে মনে হচ্ছে ডকরে লাইবকন্টেইনার এক্সিকিউশন ড্রাইভার কনটেইনারগুলির জন্য অ্যাপআর্মার প্রোফাইলগুলি সেট করার পক্ষে সমর্থন করে তবে আমি ডকরে কোনও উদাহরণ বা রেফারেন্স পাই না।
দৃশ্যত AppArmor উবুন্টুতে LXC এর সাথেও সমর্থিত ।
আপনার অ্যাপ্লিকেশনটির জন্য আপনার একটি অ্যাপআর্মার প্রোফাইল লেখা উচিত এবং কনটেনারের অভ্যন্তরীণ প্রক্রিয়াগুলি শুরু করার আগে এটি LXC / libcontainer / ডকার / ... এটি লোড করা উচিত তা নিশ্চিত করা উচিত।
এইভাবে ব্যবহৃত প্রোফাইলগুলি প্রয়োগ করা উচিত এবং এটি পরীক্ষা করার জন্য আপনার একটি অবৈধ অ্যাক্সেসের চেষ্টা করা উচিত এবং নিশ্চিত হওয়া উচিত যে এটি ব্যর্থ হয়েছে।
এই ক্ষেত্রে বাইনারি এবং প্রকৃত প্রয়োগকারী প্রোফাইলের মধ্যে কোনও লিঙ্ক নেই। আপনার ধারকটির জন্য এই প্রোফাইলটি ব্যবহার করার জন্য আপনাকে স্পষ্টভাবে ডকার / এলএক্সসিকে বলতে হবে। মাইএসকিউএল বাইনারি জন্য একটি প্রোফাইল লেখার এটি কেবল হোস্টের উপর প্রয়োগ করা হবে, ধারকটিতে নয়।