5.11。 UIDマッピングと特権コンテナ
デフォルトでは、LXD は特権のないコンテナを作成します。 これは、コンテナ内のルートがホスト上の非ルート UID であることを意味します。 コンテナが所有するリソースに対しては特権を持ちますが、ホストに対しては特権を持たないため、コンテナ内の root はホスト上の非特権ユーザーとほぼ同等になります。 (主な例外は、システム コール インターフェイスを通じて公開される攻撃対象領域の増加です)
簡単に言えば、特権のないコンテナでは、65536 個の UID がコンテナに「シフト」されます。 たとえば、コンテナ内の UID 0 はホスト上で 100000、コンテナ内の UID 1 は 100001 など、最大 165535 になります。UID と GID の開始値はそれぞれ、「ルート」エントリによって決定されます。 /etc/サブイド /etc/subgid ファイル。 (「 subuid(5) マニュアルページ42.
security.privileged フラグを true に設定することで、UID マッピングなしでコンテナーを実行するようにリクエストできます。
lxc config set c1 security.privileged true
ただし、この場合、コンテナ内の root ユーザーはホスト上の root ユーザーであることに注意してください。