文件记录5.11. UID 映射和特权容器
默认情况下,LXD 创建非特权容器。 这意味着容器中的 root 是主机上的非 root UID。 它对容器拥有的资源有特权,但对主机没有特权,这使得容器中的 root 大致相当于主机上的非特权用户。 (主要的例外是通过系统调用接口暴露的增加的攻击面)
简而言之,在一个非特权容器中,65536 个 UID 被“转移”到容器中。 例如,容器中的 UID 0 在主机上可能是 100000,容器中的 UID 1 是 100001,等等,直到 165535。UID 和 GID 的起始值分别由“root”条目决定 /etc/subuid 和 /etc/subgid 文件。 (见 subuid(5) 手册页42.
可以通过将 security.privileged 标志设置为 true 来请求容器在没有 UID 映射的情况下运行:
lxc 配置集 c1 security.privileged true
但是请注意,在这种情况下,容器中的 root 用户是主机上的 root 用户。