Dokumentation5.11. UID-Zuordnungen und privilegierte Container
Standardmäßig erstellt LXD unprivilegierte Container. Dies bedeutet, dass Root im Container eine Nicht-Root-UID auf dem Host ist. Es ist gegenüber den Ressourcen, die dem Container gehören, privilegiert, gegenüber dem Host jedoch nicht privilegiert, sodass Root in einem Container in etwa einem unprivilegierten Benutzer auf dem Host entspricht. (Die Hauptausnahme ist die erhöhte Angriffsfläche, die über die Systemaufrufschnittstelle verfügbar gemacht wird.)
Kurz gesagt, in einem unprivilegierten Container werden 65536 UIDs in den Container „verschoben“. Beispielsweise kann UID 0 im Container auf dem Host 100000 sein, UID 1 im Container ist 100001 usw. bis 165535. Der Startwert für UIDs bzw. GIDs wird durch den „Root“-Eintrag bestimmt /etc/subuid und /etc/subgid Dateien. (Siehe die subuid(5) Handbuchseite42.
Es ist möglich, die Ausführung eines Containers ohne UID-Zuordnung anzufordern, indem Sie das Flag security.privileged auf true setzen:
lxc-Konfigurationssatz c1 security.privileged true
Beachten Sie jedoch, dass in diesem Fall der Root-Benutzer im Container der Root-Benutzer auf dem Host ist.