Dokumentation6.2.2. Benutzernamensräume
Unprivilegierte Container ermöglichen es Benutzern, Container zu erstellen und zu verwalten, ohne über Root-Rechte zu verfügen. Die zugrunde liegende Funktion wird als Benutzernamensraum bezeichnet. Benutzer-Namespaces sind hierarchisch, wobei privilegierte Aufgaben in einem übergeordneten Namespace ihre IDs untergeordneten Namespaces zuordnen können. Standardmäßig wird jede Aufgabe auf dem Host im anfänglichen Benutzernamensraum ausgeführt, wobei der gesamte ID-Bereich dem gesamten Bereich zugeordnet wird. Dies lässt sich anhand von /proc/self/uid_map und /proc/self/gid_map erkennen, die beide „0 0 4294967295“ anzeigen, wenn sie aus dem ursprünglichen Benutzernamensraum gelesen werden. Ab Ubuntu 14.04 wird neuen Benutzern beim Erstellen standardmäßig eine Reihe von Benutzer-IDs angeboten. Die Liste der vergebenen IDs ist in den Dateien einsehbar /etc/subuid und /etc/subgid Weitere Informationen finden Sie auf den jeweiligen Manpages. Subuids und Subgids werden standardmäßig mit der ID 100000 gestartet, um Konflikte mit Systembenutzern zu vermeiden.
Wenn ein Benutzer in einer früheren Version erstellt wurde, kann ihm mithilfe von eine Reihe von IDs zugewiesen werden usermod, wie folgt:
sudo usermod -v 100000-200000 -w 100000-200000 Benutzer1
Die Programme neueuidmap und newgidmap sind Setuid-Root-Programme in der uidmap Paket, die intern von lxc verwendet werden, um Subuids und Subgids vom Host in den unprivilegierten Container abzubilden. Sie stellen sicher, dass der Benutzer nur IDs zuordnet, die durch die Hostkonfiguration autorisiert sind.