Documentation<Précédent | Table des matières | Suivant>
5.11. Mappages UID et conteneurs privilégiés
Par défaut, LXD crée des conteneurs non privilégiés. Cela signifie que la racine dans le conteneur est un UID non racine sur l'hôte. Il est privilégié par rapport aux ressources détenues par le conteneur, mais non privilégié par rapport à l'hôte, ce qui rend root dans un conteneur à peu près équivalent à un utilisateur non privilégié sur l'hôte. (La principale exception est la surface d'attaque accrue exposée via l'interface d'appel système)
En bref, dans un conteneur non privilégié, 65536 UID sont « déplacés » dans le conteneur. Par exemple, l'UID 0 dans le conteneur peut être 100000 sur l'hôte, l'UID 1 dans le conteneur est 100001, etc., jusqu'à 165535. La valeur de départ pour les UID et les GID, respectivement, est déterminée par l'entrée 'root' le /etc/subuid et /etc/sous-gid des dossiers. (Voir le page de manuel subuid(5)42.
Il est possible de demander à un conteneur de s'exécuter sans mappage UID en définissant l'indicateur security.privileged sur true :
ensemble de configuration lxc c1 security.privileged true
Notez cependant que dans ce cas, l'utilisateur root dans le conteneur est l'utilisateur root sur l'hôte.