Я обнаружил, что для запуска заблокированного системного вызова (например, ptrace) внутри контейнера lxc возможности должны быть добавлены. Как именно возможности могут быть добавлены в контейнер lxc.
вы можете использовать lxc.keep.cap или lxc.drop.cap в конфигурации контейнера. Ознакомьтесь с возможностями man 7 и файлами /usr/share/lxc/config/*.conf