DockerでGDBを使用するときにブレークポイントを入力できない問題を解決する

質問

docker で gdb を実行すると、ブレークポイントに到達しますが、ブレークポイントに入ることができません

理由

ホストのセキュリティを確保するために、Docker では、ASLR (アドレス空間レイアウトのランダム化) を含む多くのセキュリティ設定が有効になっています。つまり、Docker 内のメモリアドレスはホストのメモリアドレスとは異なります。

ASLR により、GDB などのアドレス依存プログラムが正しく動作しなくなります。

回避策

dockerのスーパー権限を使用し、--privileged（2つのダッシュ、マークダウン構文）を追加します

のように：

docker run --privileged …

GDBは正常に動作します

スーパー権限により多くのセキュリティ設定が無効になり、Dockerの機能を最大限に活用できるようになります。

たとえば、docker で docker を開くことができます（笑）。

追加知識: docker ptrace: 操作は許可されていません。対処方法

docker の gdb がプロセスをデバッグしているときに、エラーが報告されます。

(gdb) アタッチ 30721
プロセス30721に接続中
ptrace: 操作は許可されていません。

その理由は、Docker では ptrace がデフォルトで無効になっているためです。アプリケーション分析のニーズを考慮すると、いくつかのソリューションがあります。

1. seccompをオフにする

docker run --security-opt seccomp=unconfined

2. スーパー権限モードを使用する

docker run --privileged

3. ptrace制限のみを開く

docker run --cap-add sys_ptrace

もちろん、セキュリティの観点から、デバッグにのみ gdb を使用する場合は、3 番目の方法を使用することをお勧めします。

セキュアコンピューティングモード (seccomp) は、コンテナー内で利用可能な操作を制限するために使用できる Linux カーネルの機能です。

Docker のデフォルトの seccomp プロファイルは、許可される呼び出しを指定するホワイトリストです。

次の表には、ホワイトリストに含まれていないために事実上ブロックされている重要な（ただしすべてではない）システムコールがリストされています。この表には、各システムコールがブロックされた理由が記載されています。

システムコール	説明
アカウント	コンテナが独自のリソース制限やプロセスアカウンティングを無効にできるようにするアカウンティングシステムコール。CAP_SYS_PACCT によっても制御されます。
キーを追加	コンテナが名前空間化されていないカーネルキーリングを使用しないようにします。
アジタイムックス	clock_settime および settimeofday と同様に、time/date は名前空間化されていません。また、CAP_SYS_TIME によって制御されます。
bpf	CAP_SYS_ADMIN によって既に制限されている、潜在的に永続的な bpf プログラムをカーネルにロードすることを拒否します。
時計調整時間	時刻/日付は名前空間化されていません。CAP_SYS_TIME によっても制御されます。
時計の設定時間	時刻/日付は名前空間化されていません。CAP_SYS_TIME によっても制御されます。
クローン	新しい名前空間の複製を拒否します。CLONE_USERNS を除く CLONE_* フラグについては、CAP_SYS_ADMIN によっても制御されます。
モジュールの作成	カーネルモジュールの操作と機能を拒否します。廃止されました。CAP_SYS_MODULE によっても制御されます。
モジュールの削除	カーネルモジュールに対する操作と機能を拒否します。CAP_SYS_MODULE によっても制御されます。
有限モジュール	カーネルモジュールに対する操作と機能を拒否します。CAP_SYS_MODULE によっても制御されます。
カーネルシンボルを取得する	エクスポートされたカーネルおよびモジュールシンボルの取得を拒否します。廃止されました。
get_mempolicy	カーネルメモリと NUMA 設定を変更するシステムコール。CAP_SYS_NICE によってすでにゲートされています。
初期化モジュール	カーネルモジュールに対する操作と機能を拒否します。CAP_SYS_MODULE によっても制御されます。
イオパーム	コンテナがカーネル I/O 特権レベルを変更するのを防ぎます。CAP_SYS_RAWIO によって既にゲートされています。
iopl	コンテナがカーネル I/O 特権レベルを変更するのを防ぎます。CAP_SYS_RAWIO によって既にゲートされています。
ケーエムピー	CAP_PTRACE を削除することですでにブロックされているプロセス検査機能を制限します。
kexec_file_load	kexec_load の姉妹システムコールで、同じことを行いますが、引数が若干異なります。CAP_SYS_BOOT によってもゲートされます。
kexec_load	後で実行するために新しいカーネルをロードすることを拒否します。CAP_SYS_BOOT によっても制御されます。
キーコントロール	コンテナが名前空間化されていないカーネルキーリングを使用しないようにします。
ルックアップクッキー	トレース/プロファイリングシステムコール。ホスト上で大量の情報が漏洩する可能性があります。CAP_SYS_ADMIN によってもゲートされます。
バインド	カーネルメモリと NUMA 設定を変更するシステムコール。CAP_SYS_NICE によってすでにゲートされています。
マウント	マウントを拒否します。CAP_SYS_ADMIN によってすでにゲートされています。
ページを移動	カーネルメモリと NUMA 設定を変更するシステムコール。
ハンドル名	open_by_handle_at の姉妹システムコール。CAP_SYS_NICE によってすでにゲートされています。
nfsservctl	カーネル nfs デーモンとのやり取りを拒否します。Linux 3.1 以降では廃止されました。
ハンドルで開く	古いコンテナのブレークアウトの原因。CAP_DAC_READ_SEARCH によってもゲートされます。
パフォーマンスイベントオープン	トレース/プロファイリングシステムコール。ホスト上で大量の情報が漏洩する可能性があります。
人格	コンテナが BSD エミュレーションを有効にしないようにします。本質的に危険ではありませんが、テストが不十分で、多くのカーネル脆弱性が発生する可能性があります。
ピボットルート	pivot_root を拒否します。特権操作である必要があります。
プロセス_vm_readv	CAP_PTRACE を削除することですでにブロックされているプロセス検査機能を制限します。
プロセス_vm_writev	CAP_PTRACE を削除することですでにブロックされているプロセス検査機能を制限します。
ptrace	トレース/プロファイリングシステムコール。ホスト上で大量の情報が漏洩する可能性があります。CAP_PTRACE を削除することで既にブロックされています。
クエリモジュール	カーネルモジュールに対する操作と機能を拒否します。廃止されました。
引用	コンテナーが独自のリソース制限やプロセスアカウンティングを無効にできるようにするクォータシステムコール。CAP_SYS_ADMIN によっても制御されます。
リブート	コンテナがホストを再起動しないようにします。CAP_SYS_BOOT によっても制御されます。
リクエストキー	コンテナが名前空間化されていないカーネルキーリングを使用しないようにします。
メモリポリシーの設定	カーネルメモリと NUMA 設定を変更するシステムコール。CAP_SYS_NICE によってすでにゲートされています。
セット	スレッドと名前空間の関連付けを拒否します。CAP_SYS_ADMIN によっても制御されます。
日時を設定する	時刻/日付は名前空間化されていません。CAP_SYS_TIME によっても制御されます。
ソケット、ソケットコール	パケットの送受信、およびその他のソケット操作に使用されます。通信ドメイン AF_UNIX、AF_INET、AF_INET6、AF_NETLINK、および AF_PACKET を除くすべてのソケットおよびソケットコール呼び出しはブロックされます。
時間	時刻/日付は名前空間化されていません。CAP_SYS_TIME によっても制御されます。
スワポン	ファイル/デバイスへのスワップの開始/停止を拒否します。CAP_SYS_ADMIN によっても制御されます。
スワップオフ	ファイル/デバイスへのスワップの開始/停止を拒否します。CAP_SYS_ADMIN によっても制御されます。
sysfs	廃止されたシステムコール。
_sysctl	廃止され、/proc/sys に置き換えられました。
アンマウント	特権操作である必要があります。CAP_SYS_ADMIN によっても制御されます。
アンマウント2	特権操作である必要があります。CAP_SYS_ADMIN によっても制御されます。
共有解除	プロセスの新しい名前空間の複製を拒否します。unshare –user を除き、CAP_SYS_ADMIN によっても制御されます。
使用ライブラリ	長い間使用されていない、共有ライブラリに関連する古いシステムコール。
ユーザーフォールト	ユーザー空間のページフォールト処理。主にプロセスの移行に必要です。
ユースタット	廃止されたシステムコール。
86さん	カーネル x86 リアルモード仮想マシン。CAP_SYS_ADMIN によっても制御されます。
翻訳者	カーネル x86 リアルモード仮想マシン。CAP_SYS_ADMIN によっても制御されます。