Dockerで同一コンテナ内のプロセスからほかのプロセスが見えない

前提・実現したいこと

Dockerで起動したコンテナ内で、ps -auxしてほかにどんなプロセスが走っているか調べたいです。

現状だと ps -aux するために docker exec したプロセス（shなど）配下のプロセスしか見えません。

以前はコンテナ内全プロセスが見えた気がするのですが、現在公式のAlpine Linuxコンテナを使ったところなぜかできなくて首を傾げています。initの関係かなあとも思うのですが、どうにも解決できません。

どなたか知恵をお貸し願えませんか。

発生している問題・エラーメッセージ

## test_containerをデタッチして起動しっぱなしにする
$ docker \
    run -d --rm \
    --name=test_container \
    alpine \
    sh -c '\
        apk update \
        && apk add procps; \
        while sleep 10; do date >> /tmp/hoge; done
    '
1da91a1b2f0e8ed10e0e368fa7e796d2560f24212ffbff2e908ad8c648bf0cae

## コンテナは正常に稼働している
$ docker ps | grep test_container
1da91a1b2f0e        alpine              "sh -c 'apk update &…"   12 seconds ago      Up 11 seconds                           test_container

## コンテナの中での処理もおこなわれている
$ docker exec test_container tail /tmp/hoge
Sat Oct  6 00:16:01 UTC 2018
Sat Oct  6 00:16:11 UTC 2018
Sat Oct  6 00:16:21 UTC 2018
  :

## でも ps では sh も date も出てこない　←　問題！
$ docker exec test_container ps -aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root        24  0.0  0.0   5696   656 ?        Rs   00:16   0:00 ps -aux

試したこと

Supervisordをinit代わりにしたコンテナで複数のプロセスを立ち上げ、exec bash でそのコンテナに入ってみた
→bashから、Supervisordで立ち上げたプロセスが見えない
ps コマンドがおかしいのでは？
→Busyboxのpsでも、procpsのpsでも見えません
/proc 配下はどうなっている？
→/proc 配下に、そもそも自分自身（shでコンテナに入ってるならそのsh）以外のプロセスが見あたりません

泣きそうです。

補足情報（FW/ツールのバージョンなど）

Dockerのバージョンは以下の通りです：

$ docker -v
Docker version 17.12.1-ce, build 9584b2309e

ホストのOSは（も）Alpine Linuxで以下の通りです：

$ cat /etc/os-release
NAME="Alpine Linux"
ID=alpine
VERSION_ID=3.7.1
PRETTY_NAME="Alpine Linux v3.7"
HOME_URL="http://alpinelinux.org"
BUG_REPORT_URL="http://bugs.alpinelinux.org"

なお、CentOS 7 + Docker の古いバージョンでおなじテストをおこなったところ、他のプロセスの情報も見ることができました

うまくいった環境の情報はこちら。

# docker -v
Docker version 1.7.1, build 446ad9b/1.7.1
# cat /etc/redhat-release
CentOS Linux release 7.1.1503 (Core)

実施手順と結果は以下のとおり：

## -rm オプションのみ除いています
# docker \
     run -d \
     --name=test_container \
     alpine \
     sh -c '\
         apk update \
         && apk add procps; \
         while sleep 10; do date >> /tmp/hoge; done
     '
c932c6ffa4a78495056d5f41cb7a8b8f3fd74990a7c5297cf7e461831a3bb146
# docker exec test_container ps -aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   1500   384 ?        Ss   Oct02   0:00 sh -c \         apk update \         && apk add procps; \         while sleep 10; do date >> /tmp/hoge; done
root        18  0.0  0.0   1496   252 ?        S    Oct02   0:00 sleep 10
root        19  0.0  0.0   3540   476 ?        Rs   Oct02   0:00 ps -aux

行動規範の内容に同意します

回答1件

自己解決

か、解決しました…＞＜；

DockerのホストOSにAlpine linuxを使用している場合、
Alpine Linuxが採用しているセキュリティ機構「Grsecurity」が動作している。
この機能のうち chroot_findtask を無効にしてやると
コンテナ内での他プロセス参照がふつうにできるようになる

でした。

具体的には、/etc/conf.d/docker の末尾に

disable_grsec="chroot_deny_chmod chroot_deny_mknod chroot_findtask chroot_deny_unix"

を追加します。chroot_findtask がメインです。

/proc ファイルシステムでは /proc/sys/kernel/grsecurity 下に相当します。
詳細な機能フラグについては Wiki books Grsecurity を参照してください。

以上！

投稿2018/10/06 16:22

chobotail

総合スコア10

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！