ドキュメント6.2.2. ユーザー名前空間
権限のないコンテナを使用すると、ユーザーは root 権限を持たずにコンテナを作成および管理できます。 これを支える機能はユーザー名前空間と呼ばれます。 ユーザー名前空間は階層構造になっており、親名前空間内の特権タスクはその ID を子名前空間にマップできます。 デフォルトでは、ホスト上のすべてのタスクは初期ユーザー名前空間で実行され、ID の全範囲が全範囲にマップされます。 これは、/proc/self/uid_map と /proc/self/gid_map を見ると確認できます。最初のユーザー名前空間から読み取られた場合、どちらも「0 0 4294967295」と表示されます。 Ubuntu 14.04 以降、新しいユーザーが作成されると、デフォルトで一連のユーザー ID が提供されます。 割り当てられた ID のリストはファイルで確認できます。 /etc/サブイド および /etc/subgid 詳細については、それぞれのマンページを参照してください。 システム ユーザーとの競合を避けるために、subid と subgid は慣例により id 100000 から始まります。
ユーザーが以前のリリースで作成された場合は、次を使用して ID の範囲を付与できます。 usermod、 次のように:
sudo usermod -v 100000-200000 -w 100000-200000 user1
プログラム ニューイドマップ および 新しいギッドマップ setuid-root プログラムは uidmap パッケージ。ホストから特権のないコンテナに subuid と subgid をマッピングするために lxc によって内部的に使用されます。 これらにより、ユーザーはホスト構成によって許可された ID のみをマップすることが保証されます。