Documentação<Anterior | Conteúdo | Próxima>
5.11. Mapeamentos de UID e contêineres privilegiados
Por padrão, o LXD cria contêineres sem privilégios. Isso significa que a raiz no contêiner é um UID não raiz no host. É privilegiado em relação aos recursos pertencentes ao contêiner, mas sem privilégios em relação ao host, tornando o root em um contêiner quase equivalente a um usuário sem privilégios no host. (A principal exceção é o aumento da superfície de ataque exposta por meio da interface de chamada do sistema)
Resumidamente, em um contêiner sem privilégios, 65536 UIDs são 'deslocados' para o contêiner. Por exemplo, UID 0 no contêiner pode ser 100000 no host, UID 1 no contêiner é 100001, etc, até 165535. O valor inicial para UIDs e GIDs, respectivamente, é determinado pela entrada 'raiz' do / etc / subuid e / etc / subgid arquivos. (Veja o página de manual subuid (5)42.
É possível solicitar que um contêiner seja executado sem um mapeamento de UID, definindo a sinalização security.privileged como true:
configuração lxc definida c1 security.privileged true
Observe, entretanto, que, neste caso, o usuário root no contêiner é o usuário root no host.